เดชเตเดฐเต‹ เดนเต‹เดธเตเดฑเตเดฑเตผ > เดฌเตเดฒเต‹เด—เต > เดญเดฐเดฃเด•เต‚เดŸเด‚ > เด†เดญเตเดฏเดจเตเดคเดฐ IPsec VPN เดŽเด™เตเด™เดจเต† เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดฏเดพเด‚. เดญเดพเด—เด‚ 1

เด†เดญเตเดฏเดจเตเดคเดฐ IPsec VPN เดŽเด™เตเด™เดจเต† เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดฏเดพเด‚. เดญเดพเด—เด‚ 1

เด†เดญเตเดฏเดจเตเดคเดฐ IPsec VPN เดŽเด™เตเด™เดจเต† เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดฏเดพเด‚. เดญเดพเด—เด‚ 1

เดธเตเดฅเดฟเดคเดฟ

เด…เดตเดงเดฟ เดฆเดฟเดตเดธเด‚. เดžเดพเตป เด•เดพเดชเตเดชเดฟ เด•เตเดŸเดฟเด•เตเด•เตเดจเตเดจเต. เดฐเดฃเตเดŸเต เดชเต‹เดฏเดฟเดจเตเดฑเตเด•เตพเด•เตเด•เดฟเดŸเดฏเดฟเตฝ เด’เดฐเต เดตเดฟเดชเดฟเดŽเตป เด•เดฃเด•เตเดทเตป เดธเตเดฅเดพเดชเดฟเดšเตเดšเต เดตเดฟเดฆเตเดฏเดพเตผเดคเตเดฅเดฟ เด…เดชเตเดฐเดคเตเดฏเด•เตเดทเดจเดพเดฏเดฟ. เดžเดพเตป เดชเดฐเดฟเดถเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต: เดถเดฐเดฟเด•เตเด•เตเด‚ เด’เดฐเต เดคเตเดฐเด™เตเด•เดฎเตเดฃเตเดŸเต, เดชเด•เตเดทเต‡ เดคเตเดฐเด™เตเด•เดคเตเดคเดฟเตฝ เดŸเตเดฐเดพเดซเดฟเด•เต เด‡เดฒเตเดฒ. เดตเดฟเดฆเตเดฏเดพเตผเดคเตเดฅเดฟ เด•เต‹เดณเตเด•เตพเด•เตเด•เต เดฎเดฑเตเดชเดŸเดฟ เดจเตฝเด•เตเดจเตเดจเดฟเดฒเตเดฒ.

เดžเดพเตป เด•เต†เดฑเตเดฑเดฟเตฝ เด‡เดŸเตเดŸเต เดŽเดธเต-เดŸเต†เดฑ เด—เต‡เดฑเตเดฑเตโ€Œเดตเต‡ เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเดฟเด‚เด—เดฟเดฒเต‡เด•เตเด•เต เดฎเตเด™เตเด™เดฟ. เดžเดพเตป เดŽเดจเตเดฑเต† เด…เดจเตเดญเดตเดตเตเด‚ เดฐเต€เดคเดฟเดถเดพเดธเตเดคเตเดฐเดตเตเด‚ เดชเด™เตเด•เดฟเดŸเตเดจเตเดจเต.

เดฑเต‹ เดกเดพเดฑเตเดฑ

เดญเต‚เดฎเดฟเดถเดพเดธเตเดคเตเดฐเดชเดฐเดฎเดพเดฏเดฟ เดตเต‡เตผเดคเดฟเดฐเดฟเด•เตเด•เตเดจเตเดจ เดฐเดฃเตเดŸเต เดธเตˆเดฑเตเดฑเตเด•เตพ GRE เดŸเดฃเตฝ เดตเดดเดฟ เดฌเดจเตเดงเดฟเดชเตเดชเดฟเดšเตเดšเดฟเดฐเดฟเด•เตเด•เตเดจเตเดจเต. GRE เดŽเตปเด•เตเดฐเดฟเดชเตเดฑเตเดฑเต เดšเต†เดฏเตเดฏเต‡เดฃเตเดŸเดคเตเดฃเตเดŸเต:

เด†เดญเตเดฏเดจเตเดคเดฐ IPsec VPN เดŽเด™เตเด™เดจเต† เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดฏเดพเด‚. เดญเดพเด—เด‚ 1

เดžเดพเตป GRE เดŸเดฃเดฒเดฟเดจเตเดฑเต† เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดค เดชเดฐเดฟเดถเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต. เด‡เดคเต เดšเต†เดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเต, เด‰เดชเด•เดฐเดฃ R1-เตฝ เดจเดฟเดจเตเดจเต เด‰เดชเด•เดฐเดฃ R2-เดจเตเดฑเต† GRE เด‡เดจเตเดฑเตผเดซเต‡เดธเดฟเดฒเต‡เด•เตเด•เต เดžเดพเตป เดชเดฟเด‚เด—เต เดชเตเดฐเดตเตผเดคเตเดคเดฟเดชเตเดชเดฟเด•เตเด•เตเดจเตเดจเต. เดŽเตปเด•เตเดฐเดฟเดชเตเดทเดจเตเดฑเต† เดŸเดพเตผเด—เต†เดฑเตเดฑเต เดŸเตเดฐเดพเดซเดฟเด•เต เด‡เดคเดพเดฃเต. เด‰เดคเตเดคเดฐเดฎเดฟเดฒเตเดฒ:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

เดžเดพเตป เด—เต‡เดฑเตเดฑเต1, เด—เต‡เดฑเตเดฑเต2 เดŽเดจเตเดจเดฟเดตเดฏเดฟเดฒเต† เดฒเต‹เด—เตเด•เตพ เดจเต‹เด•เตเด•เตเดจเตเดจเต. IPsec เดŸเดฃเตฝ เดตเดฟเดœเดฏเด•เดฐเดฎเดพเดฏเดฟ เดตเดฟเด•เตเดทเต‡เดชเดฟเดšเตเดšเตเดตเต†เดจเตเดจเต เดฒเต‹เด—เต เดธเดจเตเดคเต‹เดทเดคเตเดคเต‹เดŸเต† เดฑเดฟเดชเตเดชเต‹เตผเดŸเตเดŸเต เดšเต†เดฏเตเดฏเตเดจเตเดจเต, เดชเตเดฐเดถเตโ€Œเดจเด™เตเด™เดณเตŠเดจเตเดจเตเดฎเดฟเดฒเตเดฒ:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

Gate1-เดฒเต† IPsec เดŸเดฃเดฒเดฟเดจเตเดฑเต† เดธเตเดฅเดฟเดคเดฟเดตเดฟเดตเดฐเด•เตเด•เดฃเด•เตเด•เตเด•เดณเดฟเตฝ, เดถเดฐเดฟเด•เตเด•เตเด‚ เด’เดฐเต เดคเตเดฐเด™เตเด•เด‚ เด‰เดฃเตเดŸเต†เดจเตเดจเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต, เดŽเดจเตเดจเดพเตฝ Rัvd เด•เต—เดฃเตเดŸเตผ เดชเต‚เดœเตเดฏเดคเตเดคเดฟเดฒเต‡เด•เตเด•เต เดชเตเดจเดƒเดธเดœเตเดœเต€เด•เดฐเดฟเดšเตเดšเดฟเดฐเดฟเด•เตเด•เตเดจเตเดจเต:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

เดžเดพเตป เดŽเดธเต-เดŸเต†เดฑเดฏเต† เด‡เดคเตเดชเต‹เดฒเต† เดฌเตเดฆเตเดงเดฟเดฎเตเดŸเตเดŸเดฟเด•เตเด•เตเดจเตเดจเต: R1 เดฎเตเดคเตฝ R2 เดตเดฐเต†เดฏเตเดณเตเดณ เดชเดพเดคเดฏเดฟเตฝ เดŸเดพเตผเด—เต†เดฑเตเดฑเต เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ เดŽเดตเดฟเดŸเต†เดฏเดพเดฃเต เดจเดทเตเดŸเดชเตเดชเต†เดŸเตเดŸเดคเต†เดจเตเดจเต เดžเดพเตป เดจเต‹เด•เตเด•เตเดจเตเดจเต. เดชเตเดฐเด•เตเดฐเดฟเดฏเดฏเดฟเตฝ (เดธเตโ€Œเดชเต‹เดฏเดฟเดฒเตผ) เดžเดพเตป เด’เดฐเต เดคเต†เดฑเตเดฑเต เด•เดฃเตเดŸเต†เดคเตเดคเตเด‚.

เดŸเตเดฐเดฌเดฟเตพเดทเต‚เดŸเตเดŸเดฟเด‚เด—เต

เด˜เดŸเตเดŸเด‚ 1. R1-เตฝ เดจเดฟเดจเตเดจเต Gate1-เดจเต เดฒเดญเดฟเด•เตเด•เตเดจเตเดจเดคเต

เดžเดพเตป เดฌเดฟเตฝเดฑเตเดฑเต-เด‡เตป เดชเดพเด•เตเด•เดฑเตเดฑเต เดธเตเดจเดฟเดซเตผ เด‰เดชเดฏเต‹เด—เดฟเด•เตเด•เตเดจเตเดจเต - tcpdump. เดžเดพเตป เด‡เดจเตเดฑเต‡เดฃเดฒเดฟเตฝ เดธเตเดจเดฟเดซเตผ เดธเดฎเดพเดฐเด‚เดญเดฟเด•เตเด•เตเดจเตเดจเต (เดธเดฟเดธเตเด•เต‹ เดชเต‹เดฒเตเดณเตเดณ เดจเตŠเดŸเตเดŸเต‡เดทเดจเดฟเตฝ Gi0/1 เด…เดฒเตเดฒเต†เด™เตเด•เดฟเตฝ เดกเต†เดฌเดฟเดฏเตป OS เดจเตŠเดŸเตเดŸเต‡เดทเดจเดฟเตฝ eth1) เด‡เดจเตเดฑเตผเดซเต‡เดธเต:

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

Gate1-เดจเต R1-เตฝ เดจเดฟเดจเตเดจเต GRE เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ เดฒเดญเดฟเด•เตเด•เตเดจเตเดจเดคเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต. เดžเดพเตป เดฎเตเดจเตเดจเต‹เดŸเตเดŸเต เดชเต‹เดตเตเด•เดฏเดพเดฃเต.

เด˜เดŸเตเดŸเด‚ 2. GRE เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ เด‰เดชเดฏเต‹เด—เดฟเดšเตเดšเต Gate1 เดŽเดจเตเดคเดพเดฃเต เดšเต†เดฏเตเดฏเตเดจเตเดจเดคเต

S-Terra VPN เดกเตเดฐเตˆเดตเดฑเดฟเดจเตเดณเตเดณเดฟเตฝ GRE เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เดณเดฟเตฝ เดŽเดจเตเดคเดพเดฃเต เดธเด‚เดญเดตเดฟเด•เตเด•เตเดจเตเดจเดคเต†เดจเตเดจเต klogview เดฏเต‚เดŸเตเดŸเดฟเดฒเดฟเดฑเตเดฑเดฟ เด‰เดชเดฏเต‹เด—เดฟเดšเตเดšเต เดŽเดจเดฟเด•เตเด•เต เด•เดพเดฃเดพเตป เด•เดดเดฟเดฏเตเด‚:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

เดŸเดพเตผเด—เต†เดฑเตเดฑเต GRE เดŸเตเดฐเดพเดซเดฟเด•เต (เดชเตเดฐเต‹เดŸเตเดŸเต‹ 47) 172.16.0.1 -> 172.17.0.1 CMAP เด•เตเดฐเดฟเดชเตโ€Œเดฑเตเดฑเต‹ เดฎเดพเดชเตเดชเดฟเดฒเต† LIST เดŽเตปเด•เตเดฐเดฟเดชเตโ€Œเดทเตป เดฑเต‚เดณเดฟเดจเต เด•เต€เดดเดฟเดฒเดพเดฃเต†เดจเตเดจเตเด‚ เดŽเตปเด•เตเดฏเดพเดชเตโ€Œเดธเตเดฒเต‡เดฑเตเดฑเต เดšเต†เดฏเตโ€ŒเดคเดฟเดŸเตเดŸเตเดฃเตเดŸเต†เดจเตเดจเตเด‚ เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต. เด…เดŸเตเดคเตเดคเดคเดพเดฏเดฟ, เดชเดพเด•เตเด•เดฑเตเดฑเต เดฑเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดคเต (เดชเดพเดธเดพเด•เตเด•เดฟ). klogview เด”เดŸเตเดŸเตโ€ŒเดชเตเดŸเตเดŸเดฟเตฝ เดชเตเดฐเดคเดฟเด•เดฐเดฃ เดŸเตเดฐเดพเดซเดฟเด•เต เด‡เดฒเตเดฒ.

เดžเดพเตป Gate1 เด‰เดชเด•เดฐเดฃเดคเตเดคเดฟเดฒเต† เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเตเด•เตพ เดชเดฐเดฟเดถเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต. เดŽเตปเด•เตเดฐเดฟเดชเตเดทเดจเตเดณเตเดณ เดŸเดพเตผเด—เต†เดฑเตเดฑเต เดŸเตเดฐเดพเดซเดฟเด•เต เดจเดฟเตผเดตเดšเดฟเด•เตเด•เตเดจเตเดจ เด’เดฐเต เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเต เดฒเดฟเดธเตเดฑเตเดฑเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต, เด…เดคเดฟเดจเตผเดคเตเดฅเด‚ เดซเดฏเตผเดตเดพเตพ เดจเดฟเดฏเดฎเด™เตเด™เตพ เด•เต‹เตบเดซเดฟเด—เตผ เดšเต†เดฏเตเดคเดฟเดŸเตเดŸเดฟเดฒเตเดฒ เดŽเดจเตเดจเดพเดฃเต:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

เด‰เดชเดธเด‚เดนเดพเดฐเด‚: เดชเตเดฐเดถเตเดจเด‚ Gate1 เด‰เดชเด•เดฐเดฃเดคเตเดคเดฟเดฒเดฒเตเดฒ.

เด•เตเดฒเต‹เด—เตเดตเตเดฏเต‚เดตเดฟเดจเต† เด•เตเดฑเดฟเดšเตเดšเต เด•เต‚เดŸเตเดคเตฝ

เดŽเตปเด•เตเดฐเดฟเดชเตเดฑเตเดฑเต เดšเต†เดฏเตเดฏเต‡เดฃเตเดŸ เดŸเตเดฐเดพเดซเดฟเด•เต เดฎเดพเดคเตเดฐเดฎเดฒเตเดฒ, เดŽเดฒเตเดฒเดพ เดจเต†เดฑเตเดฑเตโ€Œเดตเตผเด•เตเด•เต เดŸเตเดฐเดพเดซเดฟเด•เตเด•เตเด‚ VPN เดกเตเดฐเตˆเดตเตผ เด•เตˆเด•เดพเดฐเตเดฏเด‚ เดšเต†เดฏเตเดฏเตเดจเตเดจเต. VPN เดกเตเดฐเตˆเดตเตผ เดจเต†เดฑเตเดฑเตโ€Œเดตเตผเด•เตเด•เต เดŸเตเดฐเดพเดซเดฟเด•เต เดชเตเดฐเต‹เดธเดธเตเดธเต เดšเต†เดฏเตเดฏเตเด•เดฏเตเด‚ เดŽเตปเด•เตเดฐเดฟเดชเตเดฑเตเดฑเต เดšเต†เดฏเตเดฏเดพเดคเต† เดŸเตเดฐเดพเตปเดธเตเดฎเดฟเดฑเตเดฑเต เดšเต†เดฏเตเดฏเตเด•เดฏเตเด‚ เดšเต†เดฏเตเดคเดพเตฝ klogview-เตฝ เดฆเตƒเดถเตเดฏเดฎเดพเด•เตเดจเตเดจ เดธเดจเตเดฆเต‡เดถเด™เตเด™เตพ เด‡เดตเดฏเดพเดฃเต:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

CMAP เด•เตเดฐเดฟเดชเตโ€Œเดฑเตเดฑเต‹ เด•เดพเตผเดกเดฟเดจเตเดฑเต† เดŽเตปเด•เตเดฐเดฟเดชเตโ€Œเดทเตป เดจเดฟเดฏเดฎเด™เตเด™เดณเดฟเตฝ ICMP เดŸเตเดฐเดพเดซเดฟเด•เต (เดชเตเดฐเต‹เดŸเตเดŸเต‹ 1) 172.16.0.1->172.17.0.1 เด‰เตพเดชเตเดชเต†เดŸเตเดคเตเดคเดฟเดฏเดฟเดŸเตเดŸเดฟเดฒเตเดฒเต†เดจเตเดจเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต (เดชเตŠเดฐเตเดคเตเดคเดฎเดฟเดฒเตเดฒ). เดตเตเดฏเด•เตเดคเดฎเดพเดฏ เดตเดพเดšเด•เดคเตเดคเดฟเตฝ เดชเดพเด•เตเด•เดฑเตเดฑเต เดฑเต‚เดŸเตเดŸเต เดšเต†เดฏเตเดคเต (เดชเดพเดธเดพเด•เตเด•เดฟ).

เด˜เดŸเตเดŸเด‚ 3. Gate2-เตฝ เดจเดฟเดจเตเดจเต Gate1 เดŽเดจเตเดคเต เดธเตเดตเต€เด•เดฐเดฟเด•เตเด•เตเดจเตเดจเต

เดžเดพเตป WAN (eth0) Gate2 เด‡เดจเตเดฑเตผเดซเต‡เดธเดฟเตฝ เดธเตเดจเดฟเดซเตผ เดธเดฎเดพเดฐเด‚เดญเดฟเด•เตเด•เตเดจเตเดจเต:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

Gate2-เตฝ เดจเดฟเดจเตเดจเต Gate1-เดจเต ESP เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ เดฒเดญเดฟเด•เตเด•เตเดจเตเดจเดคเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต.

เด˜เดŸเตเดŸเด‚ 4. ESP เดชเดพเด•เตเด•เต‡เดœเตเด•เตพ เด‰เดชเดฏเต‹เด—เดฟเดšเตเดšเต Gate2 เดŽเดจเตเดคเดพเดฃเต เดšเต†เดฏเตเดฏเตเดจเตเดจเดคเต

เดžเดพเตป Gate2-เตฝ klogview เดฏเต‚เดŸเตเดŸเดฟเดฒเดฟเดฑเตเดฑเดฟ เดธเดฎเดพเดฐเด‚เดญเดฟเด•เตเด•เตเดจเตเดจเต:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

เดซเดฏเตผเดตเดพเตพ เดฑเต‚เตพ (L50VPN) เดตเดดเดฟ ESP เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ (เดชเตเดฐเต‹เดŸเตเดŸเต‹ 3) เด‰เดชเต‡เด•เตเดทเดฟเดšเตเดšเดคเดพเดฏเดฟ (DROP) เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต. Gi0/0 เดจเต เดฏเดฅเดพเตผเดคเตเดฅเดคเตเดคเดฟเตฝ เด’เดฐเต L3VPN เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเต เด…เดฑเตเดฑเดพเดšเตเดšเต เดšเต†เดฏเตเดคเดฟเดŸเตเดŸเตเดฃเตเดŸเต†เดจเตเดจเต เดžเดพเตป เด‰เดฑเดชเตเดชเดพเด•เตเด•เตเดจเตเดจเต:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

เดžเดพเตป เดชเตเดฐเดถเตเดจเด‚ เด•เดฃเตเดŸเต†เดคเตเดคเดฟ.

เด˜เดŸเตเดŸเด‚ 5. เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเดฟเตฝ เดŽเดจเตเดคเดพเดฃเต เดคเต†เดฑเตเดฑเต

L3VPN เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเต เดŽเดจเตเดคเดพเดฃเต†เดจเตเดจเต เดžเดพเตป เดจเต‹เด•เตเด•เตเดจเตเดจเต:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

ISAKMP เดชเดพเด•เตเด•เดฑเตเดฑเตเด•เตพ เด…เดจเตเดตเดฆเดจเต€เดฏเดฎเดพเดฃเต†เดจเตเดจเต เดžเดพเตป เด•เดพเดฃเตเดจเตเดจเต, เด…เดคเดฟเดจเดพเตฝ เด’เดฐเต IPsec เดŸเดฃเตฝ เดธเตเดฅเดพเดชเดฟเดšเตเดšเต. เดŽเดจเตเดจเดพเตฝ เด‡เดŽเดธเตเดชเดฟเดฏเต† เดชเตเดฐเดพเดชเตเดคเดฎเดพเด•เตเด•เตเดจเตเดจ เดจเดฟเดฏเดฎเดฎเดฟเดฒเตเดฒ. เดชเตเดฐเดคเตเดฏเด•เตเดทเดคเตเดคเดฟเตฝ, เดตเดฟเดฆเตเดฏเดพเตผเดคเตเดฅเดฟ icmp เด‰เด‚ esp เด‰เด‚ เด†เดถเดฏเด•เตเด•เตเดดเดชเตเดชเดคเตเดคเดฟเดฒเดพเด•เตเด•เดฟ.

เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเต เดŽเดกเดฟเดฑเตเดฑเตเดšเต†เดฏเตเดฏเตเดจเตเดจเต:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

เด˜เดŸเตเดŸเด‚ 6. เดชเตเดฐเดตเตผเดคเตเดคเดจเด•เตเดทเดฎเดค เดชเดฐเดฟเดถเต‹เดงเดฟเด•เตเด•เตเดจเตเดจเต

เด’เดจเตเดจเดพเดฎเดคเดพเดฏเดฟ, L3VPN เด†เด•เตเดธเดธเต เดฒเดฟเดธเตเดฑเตเดฑเต เดถเดฐเดฟเดฏเดพเดฃเต†เดจเตเดจเต เดžเดพเตป เด‰เดฑเดชเตเดชเดพเด•เตเด•เตเดจเตเดจเต:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

เด‡เดชเตเดชเต‹เตพ เดžเดพเตป เด‰เดชเด•เดฐเดฃ R1-เตฝ เดจเดฟเดจเตเดจเต เดŸเดพเตผเด—เต†เดฑเตเดฑเต เดŸเตเดฐเดพเดซเดฟเด•เต เดธเดฎเดพเดฐเด‚เดญเดฟเด•เตเด•เตเดจเตเดจเต:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

เดตเดฟเดœเดฏเด‚. GRE เดŸเดฃเตฝ เดธเตเดฅเดพเดชเดฟเดšเตเดšเต. IPsec เดธเตเดฅเดฟเดคเดฟเดตเดฟเดตเดฐเด•เตเด•เดฃเด•เตเด•เตเด•เดณเดฟเดฒเต† เด‡เตปเด•เดฎเดฟเด‚เด—เต เดŸเตเดฐเดพเดซเดฟเด•เต เด•เต—เดฃเตเดŸเตผ เดชเต‚เดœเตเดฏเดฎเดฒเตเดฒ:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Gate2 เด—เต‡เดฑเตเดฑเตโ€Œเดตเต‡เดฏเดฟเตฝ, klogview เด”เดŸเตเดŸเตโ€ŒเดชเตเดŸเตเดŸเดฟเตฝ, CMAP เด•เตเดฐเดฟเดชเตโ€Œเดฑเตเดฑเต‹ เดฎเดพเดชเตเดชเดฟเดฒเต† LIST เดฑเต‚เตพ เดตเดดเดฟ เดŸเดพเตผเด—เต†เดฑเตเดฑเต เดŸเตเดฐเดพเดซเดฟเด•เต 172.16.0.1->172.17.0.1 เดตเดฟเดœเดฏเด•เดฐเดฎเดพเดฏเดฟ เดกเต€เด•เตเดฐเดฟเดชเตเดฑเตเดฑเต เดšเต†เดฏเตเดคเดคเดพเดฏเดฟ (PASS) เดธเดจเตเดฆเต‡เดถเด™เตเด™เตพ เดชเตเดฐเดคเตเดฏเด•เตเดทเดชเตเดชเต†เดŸเตเดŸเต:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

เดซเดฒเด™เตเด™เตพ

เด’เดฐเต เดตเดฟเดฆเตเดฏเดพเตผเดคเตเดฅเดฟ เดคเดจเตเดฑเต† เด…เดตเดงเดฟ เดฆเดฟเดจเด‚ เดจเดถเดฟเดชเตเดชเดฟเดšเตเดšเต.
ME เดจเดฟเดฏเดฎเด™เตเด™เตพ เดถเตเดฐเดฆเตเดงเดฟเด•เตเด•เตเด•.

เด…เดœเตเดžเดพเดค เดŽเดžเตเดšเดฟเดจเต€เดฏเตผ
t.me/anonymous_engineer

เด…เดตเดฒเด‚เดฌเด‚: www.habr.com

เด’เดฐเต เด…เดญเดฟเดชเตเดฐเดพเดฏเด‚ เดšเต‡เตผเด•เตเด•เตเด•