Witam,
Mam problem z działaniem tunelu SSL VPN między Catalyst 3650 a Cisco 2921.
Faza pierwsza i druga tunelu się zestawia, ale mam problem z przesłaniem ruchu przez tunel.
Mogę pingować wszystkie podsieci terminowane na w/w urządzeniach ( liczniki ipsecowe się inkrementują, ten ruch wpada w tunel).
Ping z source np. SVI vlan 10 do podsieci na routerze działa, ale już ping z dowolnego urządzenia wpiętego do vlan-u 10 nie działa, nic nie wpada w tunel, access liste itp.
Pozdrawiam i proszę o wskazówki.
SSL VPN tunel - cisco 3650
Re: SSL VPN tunel - cisco 3650
Ostatnio jak sprawdzałem to Catalyst 3650 nie wspierał VPN, w tym SSL, więc chyba musisz doprecyzować co próbujesz osiągnąć, na jakich urządzeniach i co dokładnie nie działa.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Re: SSL VPN tunel - cisco 3650
Dzięki za odpowiedź,
Chcę zabezpieczyć link między switchem 3650 a routerem 2921.
Wymyśliłem sobie, że zrobię między nimi tunel ipsec.
Dokładnie, zaczynam mieć wątpliwości czy 3650 faktycznie to wspiera, skonfigurować się da, ale nie działa tak jak powinno.
Ping z source SVI np. vlan 10 działa, ale ping z urządzenia wpiętego do vlanu 10 już nie ;/
Chcę zabezpieczyć link między switchem 3650 a routerem 2921.
Wymyśliłem sobie, że zrobię między nimi tunel ipsec.
Dokładnie, zaczynam mieć wątpliwości czy 3650 faktycznie to wspiera, skonfigurować się da, ale nie działa tak jak powinno.
Kod: Zaznacz cały
Switch#sho crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.254.2 192.168.254.1 QM_IDLE 1012 ACTIVE
IPv6 Crypto ISAKMP SA
Switch#sho crypto ipsec sa
interface: GigabitEthernet1/0/1
Crypto map tag: CMAP, local addr 192.168.254.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (100.100.0.0/255.255.0.0/0/0)
current_peer 192.168.254.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 28, #pkts encrypt: 28, #pkts digest: 28
#pkts decaps: 28, #pkts decrypt: 28, #pkts verify: 28
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.254.1, remote crypto endpt.: 192.168.254.2
plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1/0/1
current outbound spi: 0x4489FDB9(1149894073)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xF80D437D(4161618813)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 93, flow_id: 93, sibling_flags 80004040, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4332416/3551)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4489FDB9(1149894073)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 94, flow_id: 94, sibling_flags 80004040, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4332416/3551)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
Re: SSL VPN tunel - cisco 3650
Ten przełącznik nie wspiera tunelowania IPSec. Do szyfrowania linku na tej platformie używany jest MACSec, standard 802.1ae, natomiast ISR G2 2921 nie wspiera samodzielnie tego standardu. Jest możliwe zastosowanie modułu przełącznika, który MACSec wspiera, np. SM-X-ES3-24-P, SM-X-ES3-16-P (http://www.cisco.com/en/US/prod/collate ... _Item.html)
Już tak z ciekawości pokaż "show version" z przełącznika.
Już tak z ciekawości pokaż "show version" z przełącznika.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein