рд╕реНрдерд┐рддрд┐
рдЫреБрдЯреНрдЯреА рдХрд╛ рджрд┐рдиред рдореБрдЭреЗ рдХреЙрдлреА рдкреАрдирд╛ рд╣реИред рдЫрд╛рддреНрд░ рдиреЗ рджреЛ рдмрд┐рдВрджреБрдУрдВ рдХреЗ рдмреАрдЪ рдПрдХ рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдФрд░ рдЧрд╛рдпрдм рд╣реЛ рдЧрдпрд╛ред рдореИрдВ рдЬрд╛рдВрдЪ рдХрд░рддрд╛ рд╣реВрдВ: рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдПрдХ рд╕реБрд░рдВрдЧ рд╣реИ, рд▓реЗрдХрд┐рди рд╕реБрд░рдВрдЧ рдореЗрдВ рдХреЛрдИ рдпрд╛рддрд╛рдпрд╛рдд рдирд╣реАрдВ рд╣реИред рдЫрд╛рддреНрд░ рдХреЙрд▓ рдХрд╛ рдЬрд╡рд╛рдм рдирд╣реАрдВ рджреЗрддрд╛.
рдореИрдВрдиреЗ рдХреЗрддрд▓реА рдЪрд╛рд▓реВ рдХреА рдФрд░ рдПрд╕-рдЯреЗрд░рд╛ рдЧреЗрдЯрд╡реЗ рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг рдореЗрдВ рдЧреЛрддрд╛ рд▓рдЧрд╛рдпрд╛ред рдореИрдВ рдЕрдкрдирд╛ рдЕрдиреБрднрд╡ рдФрд░ рдХрд╛рд░реНрдпрдкреНрд░рдгрд╛рд▓реА рд╕рд╛рдЭрд╛ рдХрд░рддрд╛ рд╣реВрдВред
рдХрдЪреНрдЪрд╛ рдбреЗрдЯрд╛
рднреМрдЧреЛрд▓рд┐рдХ рд░реВрдк рд╕реЗ рдЕрд▓рдЧ-рдЕрд▓рдЧ рджреЛ рд╕рд╛рдЗрдЯреЗрдВ рдПрдХ рдЬреАрдЖрд░рдИ рд╕реБрд░рдВрдЧ рд╕реЗ рдЬреБрдбрд╝реА рд╣реБрдИ рд╣реИрдВред GRE рдХреЛ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ:
рдореИрдВ рдЬреАрдЖрд░рдИ рд╕реБрд░рдВрдЧ рдХреА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХреА рдЬрд╛рдБрдЪ рдХрд░ рд░рд╣рд╛ рд╣реВрдБред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдореИрдВ рдбрд┐рд╡рд╛рдЗрд╕ R1 рд╕реЗ рдбрд┐рд╡рд╛рдЗрд╕ R2 рдХреЗ GRE рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рдкрд┐рдВрдЧ рдЪрд▓рд╛рддрд╛ рд╣реВрдВред рдпрд╣ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рд▓рдХреНрд╖рд┐рдд рдЯреНрд░реИрдлрд╝рд┐рдХ рд╣реИ. рдХреЛрдИ рдЬрд╡рд╛рдм рдирд╣реАрдВ:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msрдореИрдВ рдЧреЗрдЯ1 рдФрд░ рдЧреЗрдЯ2 рдкрд░ рд▓реЙрдЧ рджреЗрдЦрддрд╛ рд╣реВрдВред рд▓реЙрдЧ рдЦрд╝реБрд╢реА рд╕реЗ рд░рд┐рдкреЛрд░реНрдЯ рдХрд░рддрд╛ рд╣реИ рдХрд┐ IPsec рд╕реБрд░рдВрдЧ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд▓реЙрдиреНрдЪ рдХреА рдЧрдИ, рдХреЛрдИ рд╕рдорд╕реНрдпрд╛ рдирд╣реАрдВ:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1рдЧреЗрдЯ1 рдкрд░ рдЖрдИрдкреАрд╕реЗрдХ рд╕реБрд░рдВрдЧ рдХреЗ рдЖрдВрдХрдбрд╝реЛрдВ рдореЗрдВ рдореИрдВ рджреЗрдЦрддрд╛ рд╣реВрдВ рдХрд┐ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдПрдХ рд╕реБрд░рдВрдЧ рд╣реИ, рд▓реЗрдХрд┐рди рдЖрд░рдпреВрд╡реАрдбреА рдХрд╛рдЙрдВрдЯрд░ рд╢реВрдиреНрдп рдкрд░ рд░реАрд╕реЗрдЯ рд╣реИ:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0рдореИрдВ рдПрд╕-рдЯреЗрд░рд╛ рдХреЛ рдЗрд╕ рддрд░рд╣ рд╕реЗ рдкрд░реЗрд╢рд╛рди рдХрд░рддрд╛ рд╣реВрдВ: рдореИрдВ рджреЗрдЦрддрд╛ рд╣реВрдВ рдХрд┐ рдЖрд░1 рд╕реЗ рдЖрд░2 рдХреЗ рд░рд╛рд╕реНрддреЗ рдкрд░ рд▓рдХреНрд╖реНрдп рдкреИрдХреЗрдЯ рдХрд╣рд╛рдВ рдЦреЛ рдЧрдП рд╣реИрдВред рдЗрд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ (рд╕реНрдкреЙрдЗрд▓рд░) рдореЗрдВ рдореБрдЭреЗ рдПрдХ рдЧрд▓рддреА рдорд┐рд▓реЗрдЧреАред
рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг
рдЪрд░рдг 1. рдЧреЗрдЯ1 рдХреЛ рдЖрд░1 рд╕реЗ рдХреНрдпрд╛ рдкреНрд░рд╛рдкреНрдд рд╣реЛрддрд╛ рд╣реИ
рдореИрдВ рдЕрдВрддрд░реНрдирд┐рд░реНрдорд┐рдд рдкреИрдХреЗрдЯ рд╕реНрдирд┐рдлрд╝рд░ - tcpdump рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реВрдБред рдореИрдВ рдЖрдВрддрд░рд┐рдХ (рд╕рд┐рд╕реНрдХреЛ-рдЬреИрд╕реЗ рдиреЛрдЯреЗрд╢рди рдореЗрдВ Gi0/1 рдпрд╛ рдбреЗрдмрд┐рдпрди рдУрдПрд╕ рдиреЛрдЯреЗрд╢рди рдореЗрдВ eth1) рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рд╕реНрдирд┐рдлрд╝рд░ рд▓реЙрдиреНрдЪ рдХрд░рддрд╛ рд╣реВрдВ:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64рдореИрдВ рджреЗрдЦ рд░рд╣рд╛ рд╣реВрдВ рдХрд┐ рдЧреЗрдЯ1 рдХреЛ рдЖрд░1 рд╕реЗ рдЬреАрдЖрд░рдИ рдкреИрдХреЗрдЯ рдкреНрд░рд╛рдкреНрдд рд╣реЛрддреЗ рд╣реИрдВред рдореИрдВ рдЕрдЧреНрд░рд╕рд░ рд╣реВрдВред
рдЪрд░рдг 2. рдЧреЗрдЯ1 рдЬреАрдЖрд░рдИ рдкреИрдХреЗрдЯ рдХреЗ рд╕рд╛рде рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ
рдХреНрд▓реЛрдЧрд╡реНрдпреВ рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдореИрдВ рджреЗрдЦ рд╕рдХрддрд╛ рд╣реВрдВ рдХрд┐ рдПрд╕-рдЯреЗрд░рд╛ рд╡реАрдкреАрдПрди рдбреНрд░рд╛рдЗрд╡рд░ рдХреЗ рдЕрдВрджрд░ рдЬреАрдЖрд░рдИ рдкреИрдХреЗрдЯ рдХреЗ рд╕рд╛рде рдХреНрдпрд╛ рд╣реЛ рд░рд╣рд╛ рд╣реИ:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
рдореИрдВ рджреЗрдЦ рд░рд╣рд╛ рд╣реВрдВ рдХрд┐ рд▓рдХреНрд╖реНрдп рдЬреАрдЖрд░рдИ рдЯреНрд░реИрдлрд┐рдХ (рдкреНрд░реЛрдЯреЛ 47) 172.16.0.1 -> 172.17.0.1 рд╕реАрдПрдордПрдкреА рдХреНрд░рд┐рдкреНрдЯреЛ рдорд╛рдирдЪрд┐рддреНрд░ рдореЗрдВ рдПрд▓рдЖрдИрдПрд╕рдЯреА рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдирд┐рдпрдо рдХреЗ рддрд╣рдд рдЖрдпрд╛ рдерд╛ рдФрд░ рдПрдирдХреИрдкреНрд╕реБрд▓реЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдЗрд╕рдХреЗ рдмрд╛рдж, рдкреИрдХреЗрдЯ рдХреЛ рд░реВрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ (рдмрд╛рд╣рд░ рднреЗрдЬ рджрд┐рдпрд╛ рдЧрдпрд╛)ред рдХреНрд▓реЛрдЧрд╡реНрдпреВ рдЖрдЙрдЯрдкреБрдЯ рдореЗрдВ рдХреЛрдИ рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдирд╣реАрдВ рд╣реИред
рдореИрдВ рдЧреЗрдЯ1 рдбрд┐рд╡рд╛рдЗрд╕ рдкрд░ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪрд┐рдпреЛрдВ рдХреА рдЬрд╛рдБрдЪ рдХрд░ рд░рд╣рд╛ рд╣реВрдБред рдореБрдЭреЗ рдПрдХ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА LIST рджрд┐рдЦрд╛рдИ рджреЗрддреА рд╣реИ, рдЬреЛ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдХреЗ рд▓рд┐рдП рд▓рдХреНрд╖реНрдп рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддреА рд╣реИ, рдЬрд┐рд╕рдХрд╛ рдЕрд░реНрде рд╣реИ рдХрд┐ рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдирд╣реАрдВ рдХрд┐рдП рдЧрдП рд╣реИрдВ:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1рдирд┐рд╖реНрдХрд░реНрд╖: рд╕рдорд╕реНрдпрд╛ рдЧреЗрдЯ1 рдбрд┐рд╡рд╛рдЗрд╕ рдХреЗ рд╕рд╛рде рдирд╣реАрдВ рд╣реИред
рдХреНрд▓реЙрдЧрд╡реНрдпреВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА
рд╡реАрдкреАрдПрди рдбреНрд░рд╛рдЗрд╡рд░ рд╕рднреА рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рд╕рдВрднрд╛рд▓рддрд╛ рд╣реИ, рди рдХрд┐ рдХреЗрд╡рд▓ рдЙрд╕ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдЬрд┐рд╕реЗ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред рдпрджрд┐ рд╡реАрдкреАрдПрди рдбреНрд░рд╛рдЗрд╡рд░ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рд╕рдВрд╕рд╛рдзрд┐рдд рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЗрд╕реЗ рдЕрдирдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд░реВрдк рд╕реЗ рдкреНрд░рд╕рд╛рд░рд┐рдд рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпреЗ klogview рдореЗрдВ рджрд┐рдЦрд╛рдИ рджреЗрдиреЗ рд╡рд╛рд▓реЗ рд╕рдВрджреЗрд╢ рд╣реИрдВ:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredрдореИрдВрдиреЗ рджреЗрдЦрд╛ рдХрд┐ ICMP рдЯреНрд░реИрдлрд╝рд┐рдХ (рдкреНрд░реЛрдЯреЛ 1) 172.16.0.1->172.17.0.1 рдХреЛ CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдХрд╛рд░реНрдб рдХреЗ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдирд┐рдпрдореЛрдВ рдореЗрдВ рд╢рд╛рдорд┐рд▓ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ (рдХреЛрдИ рдорд┐рд▓рд╛рди рдирд╣реАрдВ)ред рдкреИрдХреЗрдЯ рдХреЛ рд╕реНрдкрд╖реНрдЯ рдкрд╛рда рдореЗрдВ рд░реВрдЯ (рдкрд╛рд╕ рдЖрдЙрдЯ) рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред
рдЪрд░рдг 3. рдЧреЗрдЯ2 рдХреЛ рдЧреЗрдЯ1 рд╕реЗ рдХреНрдпрд╛ рдкреНрд░рд╛рдкреНрдд рд╣реЛрддрд╛ рд╣реИ
рдореИрдВ WAN (eth0) рдЧреЗрдЯ2 рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рд╕реНрдирд┐рдлрд╝рд░ рд▓реЙрдиреНрдЪ рдХрд░рддрд╛ рд╣реВрдВ:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140рдореИрдВрдиреЗ рджреЗрдЦрд╛ рдХрд┐ рдЧреЗрдЯ2 рдХреЛ рдЧреЗрдЯ1 рд╕реЗ рдИрдПрд╕рдкреА рдкреИрдХреЗрдЯ рдкреНрд░рд╛рдкреНрдд рд╣реЛрддреЗ рд╣реИрдВред
рдЪрд░рдг 4. рдЧреЗрдЯ2 рдИрдПрд╕рдкреА рдкреИрдХреЗрдЬ рдХреЗ рд╕рд╛рде рдХреНрдпрд╛ рдХрд░рддрд╛ рд╣реИ
рдореИрдВ рдЧреЗрдЯ2 рдкрд░ рдХреНрд▓реЙрдЧрд╡реНрдпреВ рдЙрдкрдпреЛрдЧрд┐рддрд╛ рд▓реЙрдиреНрдЪ рдХрд░рддрд╛ рд╣реВрдВ:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
рдореИрдВ рджреЗрдЦ рд░рд╣рд╛ рд╣реВрдВ рдХрд┐ рдИрдПрд╕рдкреА рдкреИрдХреЗрдЯ (рдкреНрд░реЛрдЯреЛ 50) рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо (рдПрд▓3рд╡реАрдкреАрдПрди) рджреНрд╡рд╛рд░рд╛ рдЧрд┐рд░рд╛ рджрд┐рдП рдЧрдП (рдбреАрдЖрд░рдУрдкреА)ред рдореИрдВ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддрд╛ рд╣реВрдВ рдХрд┐ Gi0/0 рдХреЗ рд╕рд╛рде рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдПрдХ L3VPN рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдЬреБрдбрд╝реА рд╣реБрдИ рд╣реИ:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNрдореБрдЭреЗ рд╕рдорд╕реНрдпрд╛ рдХрд╛ рдкрддрд╛ рдЪрд▓рд╛.
рдЪрд░рдг 5. рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдореЗрдВ рдХреНрдпрд╛ рдЦрд░рд╛рдмреА рд╣реИ?
рдореИрдВ рджреЗрдЦрддрд╛ рд╣реВрдВ рдХрд┐ L3VPN рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдХреНрдпрд╛ рд╣реИ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyрдореИрдВрдиреЗ рджреЗрдЦрд╛ рдХрд┐ ISAKMP рдкреИрдХреЗрдЯреЛрдВ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдПрдХ IPsec рд╕реБрд░рдВрдЧ рд╕реНрдерд╛рдкрд┐рдд рдХреА рдЧрдИ рд╣реИред рд▓реЗрдХрд┐рди рдИрдПрд╕рдкреА рдХреЗ рд▓рд┐рдП рдХреЛрдИ рд╕рдХреНрд╖рдо рдирд┐рдпрдо рдирд╣реАрдВ рд╣реИред рдЬрд╛рд╣рд┐рд░ рд╣реИ, рдЫрд╛рддреНрд░ рдиреЗ рдЖрдИрд╕реАрдПрдордкреА рдФрд░ рдИрдПрд╕рдкреА рдХреЛ рднреНрд░рдорд┐рдд рдХрд░ рджрд┐рдпрд╛ред
рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдХрд╛ рд╕рдВрдкрд╛рджрди:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyрдЪрд░рдг 6. рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХреА рдЬрд╛рдБрдЪ рдХрд░рдирд╛
рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдореИрдВ рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддрд╛ рд╣реВрдВ рдХрд┐ L3VPN рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд╕рд╣реА рд╣реИ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyрдЕрдм рдореИрдВ рдбрд┐рд╡рд╛рдЗрд╕ R1 рд╕реЗ рд▓рдХреНрд╖реНрдп рдЯреНрд░реИрдлрд╝рд┐рдХ рд▓реЙрдиреНрдЪ рдХрд░рддрд╛ рд╣реВрдБ:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msрд╡рд┐рдЬрдпред рдЬреАрдЖрд░рдИ рд╕реБрд░рдВрдЧ рд╕реНрдерд╛рдкрд┐рдд рдХреА рдЧрдИ рд╣реИред IPsec рдЖрдБрдХрдбрд╝реЛрдВ рдореЗрдВ рдЖрдиреЗ рд╡рд╛рд▓рд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХрд╛рдЙрдВрдЯрд░ рд╢реВрдиреНрдп рдирд╣реАрдВ рд╣реИ:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480рдЧреЗрдЯ2 рдЧреЗрдЯрд╡реЗ рдкрд░, klogview рдЖрдЙрдЯрдкреБрдЯ рдореЗрдВ, рд╕рдВрджреЗрд╢ рджрд┐рдЦрд╛рдИ рджрд┐рдП рдХрд┐ рд▓рдХреНрд╖реНрдп рдЯреНрд░реИрдлрд╝рд┐рдХ 172.16.0.1->172.17.0.1 рдХреЛ CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдорд╛рдирдЪрд┐рддреНрд░ рдореЗрдВ LIST рдирд┐рдпрдо рджреНрд╡рд╛рд░рд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ (PASS) рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedрдкрд░рд┐рдгрд╛рдо
рдПрдХ рдЫрд╛рддреНрд░ рдиреЗ рдЕрдкрдиреА рдЫреБрдЯреНрдЯреА рдХрд╛ рджрд┐рди рдмрд░реНрдмрд╛рдж рдХрд░ рджрд┐рдпрд╛ред
рдПрдордИ рдирд┐рдпрдореЛрдВ рд╕реЗ рд╕рд╛рд╡рдзрд╛рди рд░рд╣реЗрдВ.
рдЧреБрдордирд╛рдо рдЗрдВрдЬреАрдирд┐рдпрд░
t.me/anonymous_engineer
рд╕реНрд░реЛрдд: www.habr.com