āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ
āĻā§āĻāĻŋ. āĻāĻŽāĻŋ āĻāĻĢāĻŋ āĻĒāĻžāĻ¨ āĻāĻ°āĻŋ. āĻāĻžāĻ¤ā§āĻ°āĻāĻŋ āĻĻā§āĻāĻŋ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻ¸āĻāĻ¯ā§āĻ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§ āĻ āĻĻā§āĻļā§āĻ¯ āĻšāĻ¯āĻŧā§ āĻā§āĻ˛āĨ¤ āĻāĻŽāĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§ āĻĻā§āĻāĻ˛āĻžāĻŽ: āĻāĻžāĻ¨ā§āĻ˛āĻāĻŋ āĻāĻ¸āĻ˛ā§āĻ āĻāĻā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻžāĻ¨ā§āĻ˛ā§ āĻā§āĻ¨ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻ¨ā§āĻāĨ¤ āĻāĻžāĻ¤ā§āĻ° āĻāĻ˛ā§āĻ° āĻāĻ¤ā§āĻ¤āĻ° āĻĻā§āĻ¯āĻŧ āĻ¨āĻžāĨ¤
āĻāĻŽāĻŋ āĻā§āĻāĻ˛āĻŋāĻāĻŋ āĻāĻžāĻ˛ā§ āĻāĻ°ā§āĻāĻŋ āĻāĻŦāĻ S-Terra āĻā§āĻāĻāĻ¯āĻŧā§āĻ° āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ā§ āĻĄā§āĻŦ āĻĻāĻŋāĻ¯āĻŧā§āĻāĻŋāĨ¤ āĻāĻŽāĻŋ āĻāĻŽāĻžāĻ° āĻ
āĻāĻŋāĻā§āĻāĻ¤āĻž āĻāĻŦāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻļā§āĻ¯āĻŧāĻžāĻ° āĻāĻ°āĻŋāĨ¤
āĻāĻžāĻāĻāĻž āĻ¤āĻĨā§āĻ¯
āĻĻā§āĻāĻŋ āĻā§āĻāĻ˛āĻŋāĻāĻāĻžāĻŦā§ āĻĒā§āĻĨāĻ āĻ¸āĻžāĻāĻ āĻāĻāĻāĻŋ GRE āĻāĻžāĻ¨ā§āĻ˛ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧ. GRE āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨:
āĻāĻŽāĻŋ āĻāĻŋāĻāĻ°āĻ āĻāĻžāĻ¨ā§āĻ˛ā§āĻ° āĻāĻ°ā§āĻŽāĻā§āĻˇāĻŽāĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋāĨ¤ āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻŽāĻŋ āĻĄāĻŋāĻāĻžāĻāĻ¸ R1 āĻĨā§āĻā§ āĻĄāĻŋāĻāĻžāĻāĻ¸ R2 āĻāĻ° GRE āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§ āĻĒāĻŋāĻ āĻāĻ°āĻž āĻļā§āĻ°ā§ āĻāĻ°āĻŋāĨ¤ āĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ˛āĻā§āĻˇā§āĻ¯āĻ¯ā§āĻā§āĻ¤ āĻā§āĻ°āĻžāĻĢāĻŋāĻāĨ¤ āĻāĻ¤ā§āĻ¤āĻ° āĻ¨ā§āĻ:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msāĻāĻŽāĻŋ āĻā§āĻ 1 āĻāĻŦāĻ āĻā§āĻ 2 āĻāĻ° āĻ˛āĻāĻā§āĻ˛āĻŋ āĻĻā§āĻāĻŋā§ˇ āĻ˛āĻāĻāĻŋ āĻāĻ¨āĻ¨ā§āĻĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻāĻ°ā§ āĻ¯ā§ IPsec āĻāĻžāĻ¨ā§āĻ˛ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻāĻ ā§ āĻāĻ¸ā§āĻā§, āĻā§āĻ¨ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ¨ā§āĻ:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1Gate1 āĻ āĻāĻžāĻ¨ā§āĻ˛ā§āĻ° IPsec āĻĒāĻ°āĻŋāĻ¸āĻāĻā§āĻ¯āĻžāĻ¨ā§, āĻāĻŽāĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ āĻ¯ā§ āĻāĻžāĻ¨ā§āĻ˛āĻāĻŋ āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨, āĻāĻŋāĻ¨ā§āĻ¤ā§ Rcvd āĻāĻžāĻāĻ¨ā§āĻāĻžāĻ°āĻāĻŋ āĻļā§āĻ¨ā§āĻ¯ā§ āĻ°āĻŋāĻ¸ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0āĻāĻŽāĻŋ āĻāĻāĻāĻžāĻŦā§ C-Terra āĻāĻ° āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻ° āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻŋ: R1 āĻĨā§āĻā§ R2 āĻ¯āĻžāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻĨā§ āĻ˛āĻā§āĻˇā§āĻ¯ āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋ āĻā§āĻĨāĻžāĻ¯āĻŧ āĻšāĻžāĻ°āĻŋāĻ¯āĻŧā§ āĻā§āĻā§ āĻ¤āĻž āĻāĻŽāĻŋ āĻā§āĻāĻāĻāĻŋāĨ¤ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ (āĻ¸ā§āĻĒāĻ¯āĻŧāĻ˛āĻžāĻ°) āĻāĻŽāĻŋ āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻā§āĻāĻā§ āĻĒāĻžāĻŦāĨ¤
āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨
āĻ§āĻžāĻĒ 1: R1 āĻĨā§āĻā§ āĻā§āĻ1 āĻā§ āĻĒāĻžāĻ¯āĻŧ
āĻāĻŽāĻŋ āĻŦāĻŋāĻ˛ā§āĻ-āĻāĻ¨ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻ¸ā§āĻ¨āĻŋāĻĢāĻžāĻ°, tcpdump āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŋāĨ¤ āĻāĻŽāĻŋ āĻ¸ā§āĻ¨āĻŋāĻĢāĻžāĻ°āĻāĻŋ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨āĻžāĻ˛ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ (āĻ¸āĻŋāĻ¸āĻā§āĻ° āĻŽāĻ¤ā§ āĻ¨ā§āĻā§āĻļāĻ¨ā§ Gi0/1 āĻ āĻĨāĻŦāĻž āĻāĻāĻ¸ āĻ¨ā§āĻā§āĻļāĻ¨ā§ eth1) āĻāĻžāĻ˛āĻžāĻāĨ¤ Debian) āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64āĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ Gate1 R1 GRE āĻĨā§āĻā§ āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋ āĻā§āĻ°āĻšāĻŖ āĻāĻ°ā§āĨ¤ āĻāĻŽāĻŋ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻāĨ¤
āĻ§āĻžāĻĒ 2. GRE āĻĒā§āĻ¯āĻžāĻā§āĻā§āĻ° āĻ¸āĻžāĻĨā§ Gate1 āĻāĻŋ āĻāĻ°ā§
āĻāĻŽāĻŋ klogview āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŋ GRE āĻĒā§āĻ¯āĻžāĻā§āĻā§āĻ° āĻā§āĻ¤āĻ°ā§ āĻā§ āĻāĻāĻā§ āĻ¤āĻž āĻĻā§āĻāĻžāĻ° āĻāĻ¨ā§āĻ¯āĨ¤ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻāĻ¸-āĻā§āĻ°āĻž āĻĄā§āĻ°āĻžāĻāĻāĻžāĻ°:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
āĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ āĻ˛āĻā§āĻˇā§āĻ¯ āĻāĻŋāĻāĻ°āĻ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ (āĻĒā§āĻ°ā§āĻā§ 47) 172.16.0.1 -> 172.17.0.1 CMAP āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻŽā§āĻ¯āĻžāĻĒā§ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻ āĻ§ā§āĻ¨ā§ āĻĒāĻĄāĻŧā§ (PASS) āĻāĻŦāĻ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ (āĻāĻ¨āĻā§āĻ¯āĻžāĻĒāĻ¸ā§āĻ˛ā§āĻā§āĻĄ)āĨ¤ āĻāĻ° āĻĒāĻ°ā§, āĻĒā§āĻ¯āĻžāĻā§āĻāĻāĻŋ āĻ°āĻžāĻāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ (āĻĒāĻžāĻ¸ āĻāĻāĻ)āĨ¤ klogview āĻāĻāĻāĻĒā§āĻā§ āĻā§āĻ¨ āĻ°āĻŋāĻāĻžāĻ°ā§āĻ¨ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻ¨ā§āĻ.
Gate1 āĻĄāĻŋāĻāĻžāĻāĻ¸ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§āĨ¤ āĻāĻŽāĻŋ āĻāĻāĻāĻŋ LIST āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ, āĻ¯āĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ˛āĻā§āĻˇā§āĻ¯ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§, āĻ¯āĻžāĻ° āĻ āĻ°ā§āĻĨ āĻšāĻ˛ ME āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻā§āĻ˛āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻ¨ā§āĻ:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1āĻāĻĒāĻ¸āĻāĻšāĻžāĻ°: āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ Gate1 āĻĄāĻŋāĻāĻžāĻāĻ¸ā§ āĻ¨āĻ¯āĻŧāĨ¤
klogview āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ°ā§
VPN āĻĄā§āĻ°āĻžāĻāĻāĻžāĻ° āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°ā§, āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¯ā§āĻā§āĻ˛āĻŋāĻā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĻāĻ°āĻāĻžāĻ° āĻ¤āĻž āĻ¨āĻ¯āĻŧāĨ¤ āĻāĻŋāĻĒāĻŋāĻāĻ¨ āĻĄā§āĻ°āĻžāĻāĻāĻžāĻ° āĻ¯āĻĻāĻŋ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°ā§ āĻāĻŦāĻ āĻĒā§āĻ˛ā§āĻāĻ¨ āĻā§āĻā§āĻ¸āĻā§ āĻĒāĻžāĻ āĻžāĻ¯āĻŧ āĻ¤āĻžāĻšāĻ˛ā§ āĻā§āĻ˛ā§āĻāĻāĻŋāĻāĻ¤ā§ āĻĻā§āĻāĻž āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻāĻāĻžāĻ¨ā§ āĻ°āĻ¯āĻŧā§āĻā§:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredāĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ ICMP āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ (āĻĒā§āĻ°ā§āĻā§ 1) 172.16.0.1->172.17.0.1 CMAP āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻŽā§āĻ¯āĻžāĻĒā§āĻ° āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒāĻĄāĻŧā§āĻ¨āĻŋ (āĻā§āĻ¨āĻ āĻŽāĻŋāĻ˛ āĻ¨ā§āĻ)āĨ¤ āĻĒā§āĻ¯āĻžāĻā§āĻāĻāĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻāĻžāĻ°āĻāĻžāĻŦā§ āĻ°āĻžāĻāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ (āĻĒāĻžāĻ¸ āĻāĻāĻ)āĨ¤
āĻ§āĻžāĻĒ 3. āĻā§āĻ2 āĻā§āĻ1 āĻĨā§āĻā§ āĻā§ āĻĒāĻžāĻ¯āĻŧ
āĻāĻŽāĻŋ WAN (eth0) āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ Gate2 āĻ āĻ¸ā§āĻ¨āĻŋāĻĢāĻžāĻ° āĻļā§āĻ°ā§ āĻāĻ°āĻŋ:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140āĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ Gate2 Gate1 āĻĨā§āĻā§ ESP āĻĒā§āĻ¯āĻžāĻā§āĻ āĻĒāĻžāĻā§āĻā§āĨ¤
āĻ§āĻžāĻĒ 4. ESP āĻĒā§āĻ¯āĻžāĻā§āĻā§āĻ° āĻ¸āĻžāĻĨā§ Gate2 āĻāĻŋ āĻāĻ°ā§
āĻāĻŽāĻŋ Gate2 āĻ klogview āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
āĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ āĻĢāĻžāĻ¯āĻŧāĻžāĻ°āĻāĻ¯āĻŧāĻžāĻ˛ (āĻĢāĻžāĻ¯āĻŧāĻžāĻ°āĻāĻ¯āĻŧāĻžāĻ˛) āĻāĻ° āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ¯āĻŧāĻŽ (L50VPN) āĻĻā§āĻŦāĻžāĻ°āĻž ESP āĻĒā§āĻ¯āĻžāĻā§āĻ (āĻĒā§āĻ°ā§āĻā§ 3) āĻĄā§āĻ°āĻĒ (āĻĄā§āĻ°āĻĒ) āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻŽāĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻ¯ā§ Gi0 / 0 āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ L3VPN āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻŦāĻĻā§āĻ§:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNāĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻā§āĻāĻā§ āĻĒā§āĻ¯āĻŧā§āĻāĻŋāĨ¤
āĻ§āĻžāĻĒ 5: āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ˛āĻŋāĻ¸ā§āĻā§ āĻā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻāĻā§
L3VPN āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻāĻŋ āĻā§ āĻ¤āĻž āĻāĻŽāĻŋ āĻĻā§āĻāĻŋ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyāĻāĻŽāĻŋ āĻĻā§āĻāĻāĻŋ āĻ¯ā§ ISAKMP āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§āĻ˛āĻŋ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤, āĻ¤āĻžāĻ āĻāĻāĻāĻŋ IPsec āĻāĻžāĻ¨ā§āĻ˛ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§ā§ˇ āĻāĻŋāĻ¨ā§āĻ¤ā§ ESP-āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ¨ā§ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻ¨ā§āĻāĨ¤ āĻ¸ā§āĻĒāĻˇā§āĻāĻ¤āĻ, āĻāĻžāĻ¤ā§āĻ°āĻāĻŋ icmp āĻāĻŦāĻ esp āĻā§ āĻŦāĻŋāĻā§āĻ°āĻžāĻ¨ā§āĻ¤ āĻāĻ°ā§āĻā§āĨ¤
āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻž:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyāĻ§āĻžāĻĒ 6. āĻāĻŽāĻŋ āĻāĻ°ā§āĻŽāĻā§āĻˇāĻŽāĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž
āĻĒā§āĻ°āĻĨāĻŽāĻ¤, āĻāĻŽāĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻŋ āĻ¯ā§ L3VPN āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻ¸āĻ āĻŋāĻ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyāĻāĻāĻ¨ āĻāĻŽāĻŋ R1 āĻĄāĻŋāĻāĻžāĻāĻ¸ āĻĨā§āĻā§ āĻ˛āĻā§āĻˇā§āĻ¯āĻ¯ā§āĻā§āĻ¤ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻāĻžāĻ˛ā§ āĻāĻ°āĻŋ:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msāĻŦāĻŋāĻāĻ¯āĻŧāĨ¤ GRE āĻāĻžāĻ¨ā§āĻ˛ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤ IPsec āĻĒāĻ°āĻŋāĻ¸āĻāĻā§āĻ¯āĻžāĻ¨ā§ āĻāĻ¨āĻāĻžāĻŽāĻŋāĻ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻāĻžāĻāĻ¨ā§āĻāĻžāĻ° āĻ -āĻļā§āĻ¨ā§āĻ¯:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480Gate2 āĻā§āĻāĻāĻ¯āĻŧā§āĻ¤ā§, klogview āĻāĻāĻāĻĒā§āĻā§, āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¯ā§ āĻ˛āĻā§āĻˇā§āĻ¯ āĻā§āĻ°āĻžāĻĢāĻŋāĻ 172.16.0.1-> 172.17.0.1 āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ (PASS) CMAP āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻŽā§āĻ¯āĻžāĻĒā§ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĄāĻŋāĻā§āĻ¯āĻžāĻĒāĻ¸ā§āĻ˛ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedāĻĢāĻ˛āĻžāĻĢāĻ˛
āĻā§āĻāĻŋāĻ° āĻĻāĻŋāĻ¨āĻāĻž āĻ¨āĻˇā§āĻ āĻāĻ°ā§ āĻĻāĻŋāĻ˛ āĻāĻžāĻ¤ā§āĻ°āĨ¤
ME āĻāĻ° āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻ¤āĻ°ā§āĻ āĻĨāĻžāĻā§āĻ¨āĨ¤
āĻŦā§āĻ¨āĻžāĻŽā§ āĻĒā§āĻ°āĻā§āĻļāĻ˛ā§
t.me/anonymous_engineer
āĻāĻ¤ā§āĻ¸: www.habr.com
