Posiadam konfigurację z routerem centralnym Ciso 892 oraz routery w oddziałach Cisco 812, Cisco 881. Działa komunikcja: oddział-centrala oraz oddział-centrala-oddział.
Pomiędzy routerami centrala a oddziałowymi zestawione po internecie są tunele GRE-OVER-IPSEC z failover na WAN1 i WAN2 w centrali.
W ramach testów przepustowości GRE-OVER-IPSEC, temat viewtopic.php?f=43&t=25472, skonfigurowałem dwa nowe urządzenia oddziałowe typu UTM Ceberoam i UTM Zyxel. Działa nawet foilover na pomiędzy WAN1 i WAN2 w centrali. Przyznaję, że nie wiem na jakich zasadach działa routing pomiedzy podsieciami LAN ( w tablicy routingu na cisco w centrali nie pojawią się żadne nowe wpisy a w configu nie są one definiowane)
Config centrali
Kod: Zaznacz cały
crypto isakmp key aaaaaaaaaaa address X.X.X.X no-xauth
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map CRYPTOMAP 31 ipsec-isakmp
set peer X.X.X.X
set transform-set ESP-3DES-MD5
set pfs group2
match address IPSEC-SWIETLANA-WAN_1
ip access-list extended IPSEC-SWIETLANA-WAN_1
permit ip 172.18.0.0 0.0.0.255 10.100.0.0 0.0.0.255
ip access-list extended LAN
deny ip 172.18.0.0 0.0.0.255 178.16.16.0 0.0.0.255
deny ip 172.18.0.0 0.0.0.255 10.100.0.0 0.0.0.255
deny ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255
deny ip 172.18.0.0 0.0.255.255 10.10.0.0 0.0.255.255
permit ip 172.18.0.0 0.0.255.255 any
interface FastEthernet8
----------
crypto map CRYPTOMAP
Pytanie 1. Jaki mechanizm zapewnia jednak działanie komunikacji między podsieciami?
Pytanie 2. Jak zapewnić komunikację pomiędzy nowym routerem UTM oddziałow:
oddział UTM innego vendora (router A) --> (IPSEC) -- centrala Cisco (router B) --> (GRE-OVER-IPsec)-- odział Cisco (router C)
OSPF? jesli tak to jak to powinno wyglądać to po stronie cisco w centrali i oddziałowych cisco?
Próbowałem na tych UTMach zdefiniować tunele GRE - ale nie udało mi się. Chciałbym jednak iść w kierunku odejścia od GRE i zastąpienia najpier routerów oddziałowych i później w centrali.
Pozdrawiam Jeanas.