...
| Примечание |
|---|
В firewall необходимо разрешить протокол ESP, UDP-порт 500 (для протокола ISAKMP), UDP-порт 4500 (для IPsec трафика при наличии NAT между IPsec соседями). |
1) Конфигурирование R1
Настроим IP-адрес на внешнем сетевом интерфейсе:
| Блок кода |
|---|
esr# configure
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 198.51.100.1/24
esr(config-if-gi)# exit |
Создадим набор алгоритмов для протокола IKE. В наборе укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit |
Создадим политику протокола IKE. В политике указыважем раннее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit |
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy-based" в качестве режима перенаправления трафика в туннель:
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# local address 198.51.100.1
esr(config-ike-gw)# local network 10.0.0.0/16
esr(config-ike-gw)# remote address 203.0.113.1
esr(config-ike-gw)# remote network 192.0.2.0/24
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit |
Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля. В политике указывается раннее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit |
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit |
2) Конфигурирование R2
Настроим IP-адрес на внешнем сетевом интерфейсе:
| Блок кода |
|---|
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 203.0.113.1/24
esr(config-if)# exit |
Создадим набор алгоритмов для протокола IKE. В наборе укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
esr(config)# |
Создадим политику протокола IKE. В политике указыважем раннее созданный набор алгоритмов, а также укажем общий известный ключ, который будет использован при аутентификации IKE-сессии:
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# pre-shared-key hexadecimal 123FFF
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# exit |
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy-based" в качестве режима перенаправления трафика в туннель:
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# remote address 198.51.100.1
esr(config-ike-gw)# remote network 10.0.0.0/16
esr(config-ike-gw)# local address 203.0.113.1
esr(config-ike-gw)# local network 192.0.2.0/24
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit |
Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля. В политике указывается раннее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit |
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit |
Состояние туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show security ipsec vpn status ipsec1 |
Конфигурацию туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show security ipsec vpn configuration ipsec1 |
Пример настройки Policy-based IPsec VPN с аутентификацией сертификатам X.509, выписываемых PKI-клиентом
Задача:
Настроить IPsec-туннель между R1 и R2.
R1 IP-адрес – 198.51.100.1;
R2 IP-адрес – 203.0.113.1;
| Scroll Pagebreak |
|---|
PKI:
- R1 выступает в роли PKI-сервера - удостоверяющего центра с самоподписанным сертификатом;
- На R1 и R2 настраиваются PKI-клиенты, запрашивающие выпуск сертификатов для IPsec VPN на R1.
IKE:
- группа Диффи-Хэллмана: 2;
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5;
- аутентификация по сертификатам X.509.
IPsec:
- алгоритм шифрования: AES 128 bit;
- алгоритм аутентификации: MD5.
Решение:
| Примечание |
|---|
В firewall необходимо разрешить протокол ESP, UDP-порт 500 (для протокола ISAKMP), UDP-порт 4500 (для IPsec трафика при наличии NAT между IPsec соседями). Также на стороне R1 необходимо разрешить TCP-порт 80 для доступа PKI-клиентов к PKI-серверу. |
1) Конфигурирование R1
Настроим IP-адрес на внешнем сетевом интерфейсе:
| Блок кода |
|---|
esr# configure
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# ip address 198.51.100.1/24
esr(config-if-gi)# exit |
Настроим NTP-клиент на получение точного времени от шлюза интернет-провайдера:
| Блок кода |
|---|
esr(config)# ntp enable
esr(config)# ntp server 198.51.100.15
esr(config-ntp-server)# exit
esr(config)# |
Настроим PKI-сервер. В нем заполним отличительное имя, challenge-password, время жизни выписываемых клиентских сертификатов и привяжем PKI-сервер к внешнему сетевому интерфейсу:
| Блок кода |
|---|
esr(config)# crypto pki server
esr(config-pki-server)# subject-name
esr(config-pki-server-subject-name)# country RU
esr(config-pki-server-subject-name)# state Moscow
esr(config-pki-server-subject-name)# locality Moscow
esr(config-pki-server-subject-name)# organization Company
esr(config-pki-server-subject-name)# common-name ca.company.loc
esr(config-pki-server-subject-name)# exit
esr(config-pki-server)# source-interface gi 1/0/1
esr(config-pki-server)# challenge-password password
esr(config-pki-server)# lifetime 7
esr(config-pki-server)# enable
esr(config-pki-server)# exit
esr(config)# |
На этом этапе необходимо применить конфигурацию на маршрутизаторе, чтобы получить цифровой отпечаток сертификата PKI-сервера из вывода команды "show crypto pki server", он нам понадобится в дальнейшей настройке PKI-клиентов:
| Блок кода |
|---|
esr# show crypto pki server
Status: Enabled
Lifetime days: 14
Certificate fingerprint: 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47
Source: gigabitethernet 1/0/1
Last issued serial number: --
Challenge password: Active
ESR.CA# |
Продолжим дальнейшую настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R1 - его собственный IP-адрес, назначенный на внешний интерфейс), раннее полученый цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:
| Блок кода |
|---|
esr(config)# crypto pki trustpoint TP_R1
esr(config-trustpoint)# subject-name
esr(config-trustpoint-subject-name)# country RU
esr(config-trustpoint-subject-name)# state Moscow
esr(config-trustpoint-subject-name)# locality Moscow
esr(config-trustpoint-subject-name)# organization Company
esr(config-trustpoint-subject-name)# common-name r1.company.loc
esr(config-trustpoint-subject-name)# exit
esr(config-trustpoint)# subject-alt-name
esr(config-trustpoint-san)# dns r1.company.loc
esr(config-trustpoint-san)# exit
esr(config-trustpoint)# url http://198.51.100.1/
esr(config-trustpoint)# fingerprint 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47
esr(config-trustpoint)# challenge-password password
esr(config-trustpoint)# enable
esr(config-trustpoint)# exit
esr(config)# |
Перейдем к настройке VPN.
Создадим набор алгоритмов для протокола IKE. В наборе укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit |
Создадим политику протокола IKE. В политике указываем раннее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" и в команде "crypto trustpoint" указываем имя раннее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# authentication method trustpoint
esr(config-ike-policy)# crypto trustpoint TP_R1
esr(config-ike-policy)# exit |
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy-based" в качестве режима перенаправления трафика в туннель:
| Примечание |
|---|
Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных "local id" и "remote id", присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - укажем его и в командах "local id" и "remote id". |
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# local address 198.51.100.1
esr(config-ike-gw)# local network 10.0.0.0/16
esr(config-ike-gw)# remote address 203.0.113.1
esr(config-ike-gw)# remote network 192.0.2.0/24
esr(config-ike-gw)# local id dns r1.company.loc
esr(config-ike-gw)# remote id dns r2.company.loc
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit |
Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля. В политике указывается раннее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit |
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit |
2) Конфигурирование R2
Настроим IP-адрес на внешнем сетевом интерфейсе:
| Блок кода |
|---|
esr# configure
esr(config)# interface gi 1/0/1
esr(config-if)# ip address 203.0.113.1/24
esr(config-if)# exit |
Произведем настройку настройку PKI-клиента. Необходимо заполнить отличительное имя, URL для подключения к PKI-серверу (в случае маршрутизатора R2 - внешний IP-адрес маршрутизатора R1), раннее полученый цифровой отпечаток сертификата PKI-сервера и доменное имя маршрутизатора в качестве альтернативного имени клиентского сертификата:
| Блок кода |
|---|
esr(config)# crypto pki trustpoint TP_R2
esr(config-trustpoint)# subject-name
esr(config-trustpoint-subject-name)# country RU
esr(config-trustpoint-subject-name)# state Moscow
esr(config-trustpoint-subject-name)# locality Moscow
esr(config-trustpoint-subject-name)# organization Company
esr(config-trustpoint-subject-name)# common-name r2.company.loc
esr(config-trustpoint-subject-name)# exit
esr(config-trustpoint)# subject-alt-name
esr(config-trustpoint-san)# dns r2.company.loc
esr(config-trustpoint-san)# exit
esr(config-trustpoint)# url http://198.51.100.1/
esr(config-trustpoint)# fingerprint 79:D2:B6:7E:DF:77:2D:C5:27:68:99:10:BA:EC:D2:47
esr(config-trustpoint)# challenge-password password
esr(config-trustpoint)# enable
esr(config-trustpoint)# exit
esr(config)# |
Перейдем к настройке VPN.
Создадим набор алгоритмов для протокола IKE. В наборе укажем группу Диффи-Хэллмана 2, алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IKE-соединения:
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)# dh-group 2
esr(config-ike-proposal)# authentication algorithm md5
esr(config-ike-proposal)# encryption algorithm aes128
esr(config-ike-proposal)# exit
esr(config)# |
Создадим политику протокола IKE. В политике указываем раннее созданный набор алгоритмов, в качестве метода аутентификации выбираем "trustpoint" и в команде "crypto trustpoint" указываем имя раннее созданного PKI-клиента, выписываемые им сертификаты будут использованы при аутентификации IKE-сессии:
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)# proposal ike_prop1
esr(config-ike-policy)# authentication method trustpoint
esr(config-ike-policy)# crypto trustpoint TP_R2
esr(config-ike-policy)# exit |
Создадим шлюз протокола IKE. В данном разделе привяжем раннее созданную политику протокола IKE, укажем IP-адреса для построения IPsec туннеля и набор локальных и удаленных сетей, трафик между которыми необходимо будет шифровать. Также укажем версию протокола IKE и "policy-based" в качестве режима перенаправления трафика в туннель:
| Примечание |
|---|
Важным моментом при настройке аутентификации по сертификатам X.509 является указание корректных "local id" и "remote id", присутствующих в сертификатах в качестве альтернативных имен сертификата. Поскольку раннее в настройках PKI-клиента в качестве альтернативного имени было указано полное доменное имя маршрутизатора - укажем его и в командах "local id" и "remote id". |
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)# ike-policy ike_pol1
esr(config-ike-gw)# remote address 198.51.100.1
esr(config-ike-gw)# remote network 10.0.0.0/16
esr(config-ike-gw)# local address 203.0.113.1
esr(config-ike-gw)# local network 192.0.2.0/24
esr(config-ike-gw)# local id dns r2.company.loc
esr(config-ike-gw)# remote id dns r1.company.loc
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit |
Создадим набор алгоритмов для IPsec-туннеля. В нем укажем алгоритм шифрования AES 128 bit, алгоритм аутентификации MD5. Данные параметры безопасности используются для защиты IPsec-туннеля:
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)# authentication algorithm md5
esr(config-ipsec-proposal)# encryption algorithm aes128
esr(config-ipsec-proposal)# exit |
Создадим политику для IPsec-туннеля. В политике указывается раннее описанный набор алгоритмов для IPsec-туннеля.
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)# proposal ipsec_prop1
esr(config-ipsec-policy)# exit |
Создадим IPsec VPN. В VPN указывается шлюз IKE-протокола, политика IPsec-туннеля, режим обмена ключами и способ установления соединения. После ввода всех параметров включим туннель командой enable:
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec1
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway ike_gw1
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit
esr(config)# exit |
Состояние туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show security ipsec vpn status ipsec1 |
Конфигурацию туннеля можно посмотреть командой:
| Блок кода |
|---|
esr# show security ipsec vpn configuration ipsec1 |
Состояние PKI-клиента и время следующей процедуры автоматического перевыпуска сертификата можно посмотреть командой:
| Блок кода |
|---|
esr# show crypto pki trustpoint TP_R1 |
Алгоритм настройки Remote Access IPsec VPN
...
<MODE> – режим переподключения, принимает следующие значения:
- no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
- never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
- replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
- keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.
Пример настройки Remote Access IPsec VPN
Задача:
Настроить Remote Access IPsec VPN между R1 и R2 с использованием второго фактора аутентификации IPsec - XAUTH. В качестве сервера IPsec VPN настроить маршрутизатор R1, а маршрутизатор R2 в качестве клиента IPsec VPN.
...
- логин: client1;
- пароль: password123.
Решение:
| Примечание |
|---|
Предварительно в firewall необходимо разрешить протокол ESP и ISAKMP (UDP-порт 500, 4500). |
...
Пример настройки DPD (Dead Peer Detection)
Задача:
Настроить Dead Peed Detection на R1 для Policy-based Ipsec VPN между R1 и R2.
Исходную конфигурацию можно взять из примера настройки Policy-based IPsec VPN.
Решение:
На R1 в шлюзе протокола IKE укажем: режим работы DPD – restart, интервал опроса – 1 секунду, таймаут – 4 секунды:
...
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Создать LT-туннели для каждого из существующих VRF. | esr(config)# tunnel lt <ID> | <ID> – идентификатор туннеля в диапазоне [1..128]. |
| 2 | Указать описание конфигурируемых туннелей (необязательно). | esr(config-lt)# description <DESCRIPTION> | <DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов. |
3 | Включить каждый LT-туннель в соответствующий VFR. | esr(config-lt)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задается строкой до 31 символа. |
4 | Включить каждый LT-туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall для LT-туннеля. | esr(config-lt)# security-zone<NAME> | <NAME> – имя зоны безопасности, задаётся строкой до 12 символов. |
esr(config-lt)# ip firewall disable | |||
5 | Для каждого LT-туннеля задать номер противоположный LT туннель (в другом VRF). | esr(config-lt)# peer lt <ID> | <ID> – идентификатор туннеля в диапазоне [1..128]. |
6 | Для каждого LT-туннеля указать IP-адрес для маршрутизации пакетов. Для взаимодействующих LT-туннелей, IP-адреса должны быть из одной IP-подсети. | esr(config-lt)# ip address <ADDR/LEN> [unit <ID>] или esr(config-lt)# ip address <ADDR/LEN> secondary [unit <ID>] | <ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; <ID> – номер юнита, принимает значения [1..4]. Ключ secondary указывает, что настроенный адрес является дополнительным IP-адресом. Если это ключевое слово отсутствует, настроенный адрес является основным IP-адресом. Возможно указать до 7 дополнительных IP-адресов. |
7 | Включить туннели. | esr(config-lt)# enable | |
8 | Для каждого VRF настроить необходимые протоколы маршрутизации через LT-туннель. | ||
9 | Задать интервал времени, за который усредняется статистика о нагрузке на туннеле (необязательно). | esr(config-lt)# load-average <TIME> | <TIME> – интервал в секундах, принимает значения [5..150]. Значение по умолчанию: 5. |
10 | Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (необязательно; возможно, если в bridge включен только VLAN). | esr(config-lt)# mtu <MTU> | <MTU> – значение MTU, принимает значения в диапазоне:
Значение по умолчанию: 1500. |
Пример настройки
Задача:
Организовать взаимодействие между хостами, терминированными в двух VRF vrf_1 и vrf_2.
...
| Блок кода |
|---|
hostname esr ip vrf vrf_1 exit ip vrf vrf_2 exit interface gigabitethernet 1/0/1 ip vrf forwarding vrf_1 ip firewall disable ip address 10.0.0.1/24 exit interface gigabitethernet 1/0/2 ip vrf forwarding vrf_2 ip firewall disable ip address 10.0.1.1/24 exit |
| Scroll Pagebreak |
|---|
Решение:
Создадим LT-туннели для каждого VRF с указанием IP-адресов из одной подсети:
...