Router innego vendora i routing pomiędzy podsieciami

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
jeanas
member
member
Posty: 23
Rejestracja: 08 mar 2012, 16:02

Router innego vendora i routing pomiędzy podsieciami

#1

#1 Post autor: jeanas » 10 cze 2018, 19:25

Drodzy Forumowicze

Posiadam konfigurację z routerem centralnym Ciso 892 oraz routery w oddziałach Cisco 812, Cisco 881. Działa komunikcja: oddział-centrala oraz oddział-centrala-oddział.
Pomiędzy routerami centrala a oddziałowymi zestawione po internecie są tunele GRE-OVER-IPSEC z failover na WAN1 i WAN2 w centrali.
W ramach testów przepustowości GRE-OVER-IPSEC, temat viewtopic.php?f=43&t=25472, skonfigurowałem dwa nowe urządzenia oddziałowe typu UTM Ceberoam i UTM Zyxel. Działa nawet foilover na pomiędzy WAN1 i WAN2 w centrali. Przyznaję, że nie wiem na jakich zasadach działa routing pomiedzy podsieciami LAN ( w tablicy routingu na cisco w centrali nie pojawią się żadne nowe wpisy a w configu nie są one definiowane)

Config centrali

Kod: Zaznacz cały

crypto isakmp key aaaaaaaaaaa address X.X.X.X no-xauth

crypto isakmp policy 2
 encr 3des
 hash md5
 authentication pre-share
 group 2

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 

crypto map CRYPTOMAP 31 ipsec-isakmp 
 set peer X.X.X.X
 set transform-set ESP-3DES-MD5 
 set pfs group2
 match address IPSEC-SWIETLANA-WAN_1

ip access-list extended IPSEC-SWIETLANA-WAN_1
 permit ip 172.18.0.0 0.0.0.255 10.100.0.0 0.0.0.255

ip access-list extended LAN
 deny   ip 172.18.0.0 0.0.0.255 178.16.16.0 0.0.0.255
 deny   ip 172.18.0.0 0.0.0.255 10.100.0.0 0.0.0.255
 deny   ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255
 deny   ip 172.18.0.0 0.0.255.255 10.10.0.0 0.0.255.255
 permit ip 172.18.0.0 0.0.255.255 any

interface FastEthernet8
 ----------
 crypto map CRYPTOMAP
Brak definicji tuneli GRE lub VTI. Brak wpisów do tablicy routingu.

Pytanie 1. Jaki mechanizm zapewnia jednak działanie komunikacji między podsieciami?

Pytanie 2. Jak zapewnić komunikację pomiędzy nowym routerem UTM oddziałow:
oddział UTM innego vendora (router A) --> (IPSEC) -- centrala Cisco (router B) --> (GRE-OVER-IPsec)-- odział Cisco (router C)

OSPF? jesli tak to jak to powinno wyglądać to po stronie cisco w centrali i oddziałowych cisco?
Próbowałem na tych UTMach zdefiniować tunele GRE - ale nie udało mi się. Chciałbym jednak iść w kierunku odejścia od GRE i zastąpienia najpier routerów oddziałowych i później w centrali.

Pozdrawiam Jeanas.

ODPOWIEDZ