История страницы

...

Блок кода

cluster
  cluster-interface bridge 1
  unit 1
    mac-address cc:9d:a2:71:83:78
  exit
  unit 2
    mac-address cc:9d:a2:71:82:38
  exit
  enable
exit

hostname ESR-1 unit 1
hostname ESR-2 unit 2

security zone SYNC
exit
security zone WAN
exit
security zone LAN
exit

bridge 1
  vlan 1
  security-zone SYNC
  ip address 198.51.100.254/24 unit 1
  ip address 198.51.100.253/24 unit 2
  vrrp id 1
  vrrp ip 198.51.100.1/24
  vrrp group 1
  vrrp authentication key ascii-text encrypted 88B11079B51D
  vrrp authentication algorithm md5
  vrrp
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 1/0/2
  security-zone WAN
  ip address 128.66.0.2/30
  vrrp id 3
  vrrp ip 203.0.113.2/30
  vrrp group 1
  vrrp
exit
interface gigabitethernet 1/0/3
  security-zone LAN
  ip address 192.0.2.254/24
  vrrp id 2
  vrrp ip 192.0.2.1/24
  vrrp group 1
  vrrp
exit
interface gigabitethernet 12/0/31
  mode switchport
  spanning-tree disable
exit
interface gigabitethernet 2/0/12
  security-zone LANWAN
  ip address 192128.66.0.2.2531/2430
  vrrp id 23
  vrrp ip 192203.0.113.2.1/2430
  vrrp group 1
  vrrp
exit
interface gigabitethernet 2/0/3
  security-zone LAN
  ip address 192.0.2.253/24
  vrrp id 2
  vrrp mode switchport
  spanning-tree disableip 192.0.2.1/24
  vrrp group 1
  vrrp
exit

security zone-pair SYNC self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol ah
    enable
  exit
exit
security zone-pair LANWAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

Решение:

Сконфигурируем необходимые сетевые интерфейсы для подключения к провайдеру с указанием их принадлежности к зоне безопасности:

Блок кода

title	ESR-1

ESR-1(config)# security zone WAN
ESR-1(config-security-zone)# exit
ESR-1(config)# interface gigabitethernet 1/0/2
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 128.66.0.2/30
ESR-1(config-if-gi)# vrrp id 3
ESR-1(config-if-gi)# vrrp ip 203.0.113.2/30
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit
ESR-1(config)# interface gigabitethernet 2/0/2
ESR-1(config-if-gi)# security-zone WAN
ESR-1(config-if-gi)# ip address 128.66.0.1/30
ESR-1(config-if-gi)# vrrp id 3
ESR-1(config-if-gi)# vrrp ip 203.0.113.2/30
ESR-1(config-if-gi)# vrrp group 1
ESR-1(config-if-gi)# vrrp
ESR-1(config-if-gi)# exit-pair LAN self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

Решение:

Создадим профиль ISAKMP-портов, необходимых для работы протокола IPsec, включающий разрешение UDP-пакетов на порту 500 (а также на порту 4500 для поддержки NAT-T при необходимости):

...

Блок кода

title	ESR-1

ESR-1(config)# security zone-pair WAN self
ESR-1(config-security-zone-pair)# rule 1
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol vrrp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 2
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol udp
ESR-1(config-security-zone-pair-rule)# match destination-port object-group ISAKMP
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# rule 3
ESR-1(config-security-zone-pair-rule)# action permit
ESR-1(config-security-zone-pair-rule)# match protocol esp
ESR-1(config-security-zone-pair-rule)# enable
ESR-1(config-security-zone-pair-rule)# exit
ESR-1(config-security-zone-pair)# exit

Создадим зону безопасности IPsec и туннель VTI, через который будет перенаправляться трафик в IPsec-туннель. В качестве локального шлюза назначим VIP IP-адрес, настроенный на интерфейсах в сторону зоны WAN, а в качестве удалённого шлюза – IP-адрес соответствующего интерфейса:

Блок кода

title	ESR-1

ESR-1(config)# security zone IPSEC
ESR-1(config-security-zone)# exit
ESR-1(config)# tunnel vti 1
ESR-1(config-vti)# security-zone IPSEC
ESR-1(config-vti)# local address 203.0.113.2
ESR-1(config-vti)# remote address 203.0.113.1
ESR-1(config-vti)# ip address 128.66.0.6/30
ESR-1(config-vti)# enable
ESR-1(config-vti)# exit

...

Создадим шлюз протокола IKE с указанием VTI-туннеля, применимой политики, версии протокола и режима перенаправления трафика в туннель. Для route-based IPsec поддержка MOBIKE отключается в обязательном порядке, а также отключим mobike:

Блок кода

title	ESR-1

ESR-1(config)# security ike gateway ike_gw
ESR-1(config-ike-gw)# version v2-only
ESR-1(config-ike-gw)# ike-policy ike_pol 
ESR-1(config-ike-gw)# mode route-based 
ESR-1(config-ike-gw)# mobike disable
ESR-1(config-ike-gw)# bind-interface vti 1
ESR-1(config-ike-gw)# exit

...

Примечание
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннелявстречном устройстве.

Просмотреть состояния состояние VTI туннеля можно с помощью команды:

...

Дерево страниц

Сравнение версий

Старая версия 92

Новая версия 93

Ключ

Решение:

Решение: