建立兩筆SLA 每一條電路建一個SLA 基本上就是ping 遠端 IP
定義 timeout 時間 與 失敗的 threshold 次數
ip sla 5
icmp-echo 10.255.254.49 source-ip 10.255.254.50
request-data-size 100
timeout 2000
threshold 2
frequency 2
ip sla schedule 5 life forever start-time now
ip sla 6
icmp-echo 10.255.254.53 source-ip 10.255.254.54
request-data-size 100
timeout 2000
threshold 2
frequency 2
ip sla schedule 6 life forever start-time now
track 458 ip sla 5 reachability
track 459 ip sla 6 reachability
ip route 0.0.0.0 0.0.0.0 10.255.254.49 track 458
ip route 0.0.0.0 0.0.0.0 10.255.254.53 50 track 459
優先的 routing 是 track 458,如果track 458 ping失敗後, 路由會變成第二順位
達成自動備援功能,主要路由的 tracking 恢復後,就立即恢復第一路由
以此達成自動備援的目的
2011年4月29日 星期五
Site to Site VPN 測試結果與心得
這幾天為了測試與廈門建立 Site to Site VPN 搞到焦頭爛額
因為台灣這邊用的是 Cisco ISR 3825 Router 而大陸廈門那邊則用 Juniper SSG 320m
怎麼弄就是起不來 最後就得到一串錯誤訊息 "decrypted packet failed SA identity check"
廈門那邊就一付老大心態 擺明他那邊沒問題 也沒時間查 也不給我看設定檔
我只能悶著頭測試 搞了老半天也沒有一個明確的解答 所以就是..........無解
最後 我借了台 cisco isr 2811 來和 3825 對接測試 果然是 "自己人比較好說話"
Cisco 3825 老大說的話 2811怎能敢不聽呢 所以vpn就建起來囉
證明我的設定沒有錯 再來就換證明Cisco 與 Juniper 不同兩家人說的話 彼此聽不聽得懂囉
跟廠商借一台 juniper netscreen 208 並順帶借了工程師來設定
雙方互測半天 最後還是 cisco 公說公有理 juniper 婆說婆有理 的局面
最後只好使出大絕招 用廠商的 juniper 208 與廈門互連 果然又是一個自家人好說話的局面
一連就通了 這不禁使我想罵人 以前廠商推銷設備都說 現在什時代了
通訊協定都標準化了 不同廠牌怎麼可能會無法溝通勒 真他媽的ooxx 屁話
keyword:
IPSec : 這只是一個 IETF 制定的開放標準,主要用來保護 internet 溝通時的資料安全,主要功能為認證與加密。
IPSec包含兩個部分,一個是IKE (Internet Key Exchange),主要負責金鑰的交換,另外一部份就是負責封包的加解密。
IKE的協商過程分為兩個階段,第一階段建立SA(安全協議),負責溝通雙方的安全機制,第二階段就是建立IPSec連線。
isakmp (Internet Security Association and Key Management Protocol) 網路安全協議與秘鑰管理
IKE 第一階段 利用 isakmp 達成SA協議與秘鑰管理
crypto isakmp enable 先將協定啟動
crypto isakmp policy 100 // 建立一個 isakmp的 policy
hash md5 // 以MD5的做認證
encr des // 以DES作加密
authentication pre-share // 認證方式為 pre-share key
group 2 // Group 2
lifetime 28800
exit
crypto isakmp key key-value address ip-address //指定 pre-share key
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac //定義第二階段的加解密方式
mode tunnel // 可以選擇 tunnel 或是 transport 模式
exit
指定 Access-List 確認哪些要經過VPN網路
ip access-list extend Xmsertec
permit ip 192.168.102.0 0.0.0.255 172.17.0.0 0.0.255.255 //兩端的LAN
exit
第二階段
crypto map map_name 1 ipsec-isakmp
set security-association life seconds 3600
set pfs group2
set peer ip-address // Remote site 的 ip address
set transform-set ESP-DES-SHA
match address Xmsertec
最後要記得將 crypto map 綁到 interface上面 應該就大功告成啦
另外還有一些相關驗證測試的 command
show crypto isakmp sa // 看第一階段是否建立
show crypto ipsec sa // 看第二階段是否完成
show crypto engine connection active //查看目前的IPSec連線
因為台灣這邊用的是 Cisco ISR 3825 Router 而大陸廈門那邊則用 Juniper SSG 320m
怎麼弄就是起不來 最後就得到一串錯誤訊息 "decrypted packet failed SA identity check"
廈門那邊就一付老大心態 擺明他那邊沒問題 也沒時間查 也不給我看設定檔
我只能悶著頭測試 搞了老半天也沒有一個明確的解答 所以就是..........無解
最後 我借了台 cisco isr 2811 來和 3825 對接測試 果然是 "自己人比較好說話"
Cisco 3825 老大說的話 2811怎能敢不聽呢 所以vpn就建起來囉
證明我的設定沒有錯 再來就換證明Cisco 與 Juniper 不同兩家人說的話 彼此聽不聽得懂囉
跟廠商借一台 juniper netscreen 208 並順帶借了工程師來設定
雙方互測半天 最後還是 cisco 公說公有理 juniper 婆說婆有理 的局面
最後只好使出大絕招 用廠商的 juniper 208 與廈門互連 果然又是一個自家人好說話的局面
一連就通了 這不禁使我想罵人 以前廠商推銷設備都說 現在什時代了
通訊協定都標準化了 不同廠牌怎麼可能會無法溝通勒 真他媽的ooxx 屁話
keyword:
IPSec : 這只是一個 IETF 制定的開放標準,主要用來保護 internet 溝通時的資料安全,主要功能為認證與加密。
IPSec包含兩個部分,一個是IKE (Internet Key Exchange),主要負責金鑰的交換,另外一部份就是負責封包的加解密。
IKE的協商過程分為兩個階段,第一階段建立SA(安全協議),負責溝通雙方的安全機制,第二階段就是建立IPSec連線。
isakmp (Internet Security Association and Key Management Protocol) 網路安全協議與秘鑰管理
IKE 第一階段 利用 isakmp 達成SA協議與秘鑰管理
crypto isakmp enable 先將協定啟動
crypto isakmp policy 100 // 建立一個 isakmp的 policy
hash md5 // 以MD5的做認證
encr des // 以DES作加密
authentication pre-share // 認證方式為 pre-share key
group 2 // Group 2
lifetime 28800
exit
crypto isakmp key key-value address ip-address //指定 pre-share key
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac //定義第二階段的加解密方式
mode tunnel // 可以選擇 tunnel 或是 transport 模式
exit
指定 Access-List 確認哪些要經過VPN網路
ip access-list extend Xmsertec
permit ip 192.168.102.0 0.0.0.255 172.17.0.0 0.0.255.255 //兩端的LAN
exit
第二階段
crypto map map_name 1 ipsec-isakmp
set security-association life seconds 3600
set pfs group2
set peer ip-address // Remote site 的 ip address
set transform-set ESP-DES-SHA
match address Xmsertec
最後要記得將 crypto map 綁到 interface上面 應該就大功告成啦
另外還有一些相關驗證測試的 command
show crypto isakmp sa // 看第一階段是否建立
show crypto ipsec sa // 看第二階段是否完成
show crypto engine connection active //查看目前的IPSec連線
訂閱:
文章 (Atom)