...
- Обновить маршрутизаторы ESR в облаке DMVPN на версии 1.23.6-1.28.1
- Перенастроить IPsec, используемый в DMVPN облаке, на транспортный режим работы на тех ESR, которые не будут обновлены на версии 1.23.6-1.28.1.
- Перенастроить IPsec, используемый в DMVPN облаке, на транспортный режим работы на оборудовании сторонних производителей.
Подготовка конфигурации при обновлении
...
на версию ПО 1.
...
28.
...
1
...
Перед обновлением на версию ПО 1.28 необходимо
.1 необходимо убедиться, что в конфигурации tunnel VTI настроен IP-адрес. Если IP-адреса в конфигурации tunnel VTI нет, то необходимо его настроить.
При обновлении на версию ПО 1.28.1 и отсутствии IP-адреса в конфигурации tunnel VTI будет удален enable из security ipsec vpn <NAME>, которая привязана к данному tunnel VTI.
Пример обновления конфигурации приведен ниже, прочие настройки IPsec VPN пропущены:
| Конфигурация на ПО версий до 1.28.1Конфигурация на ПО версий 1.0.1 - 1.24.9 | Конфигурация на ПО версий 1.28.1 |
|---|---|
| tunnel gre vti 1 ip nhrp ipsec IPSEC_VPN_SPOKES dynamiclocal address 203.0.113.2 remote address 203.0.113.1 enable exit security ike gateway ike_gateway bind-interface vti 1 ip nhrp ipsec IPSEC_VPN_HUB_1 static ip nhrp ipsec IPSEC_VPN_HUB_2 staticexit security ipsec vpn IPSEC_VPN_HUB_ipsec_vpn ike gateway ike_gateway enable exit | tunnel vti 1 local address 203.0.113.2 remote address 203.0.113.1 enable exit security ike gateway ike_gateway bind-interface vti 1 exit security ipsec vpn IPSEC_VPN_HUB_2ipsec_vpn ike gateway ike_gateway exit |
| tunnel vti 1 local address 203.0.113.2 remote address 203.0.113.1 ip address 192.0.2.1/30 enable exit security ike gateway ike_gateway bind-interface vti 1 enableexit security ipsec vpn IPSEC_VPN_SPOKESipsec_vpn ike gateway ike_gateway enable exit | tunnel gre vti 1 ip nhrp ipsec IPSEC_VPN_SPOKES dynamic ip nhrp ipsec IPSEC_VPN_HUB_1 static ip nhrp ipsec IPSEC_VPN_HUB_2 staticexitsecurity ipsec vpn IPSEC_VPN_HUB_1 type transportlocal address 203.0.113.2 remote address 203.0.113.1 ip address 192.0.2.1/30 enable exit security ipsec vpn IPSEC_VPN_HUB_2ike gateway ike_gateway bind-interface vti 1 type transport enableexit security ipsec vpn IPSECipsec_VPN_SPOKESvpn type transportike gateway ike_gateway enable exit |
| Якорь | ||||
|---|---|---|---|---|
|
...
Соответственно при обновлении ПО в объекты конфигурации "security ipsec vpn", указанные в конфигурациях туннелей GRE в режиме multipoint, будет добавлена команда tape transport, изменяющая режим работы IPsec-туннеля. В случае если команда уже присутствовала в конфигурации IPsec VPN, изменений не будет. Пример обновления конфигурации приведен ниже, прочие настройки туннелей GRE и IPsec VPN пропущены:
| Конфигурация на ПО версий 1.13.x - 1.17.1 | Конфигурация на ПО версий 1.23.6-1.28.1 |
|---|---|
|
|
|
|
В связи с этим перед обновлением ESR, работающем в составе DMVPN-облака, необходимо:
...