نمایش نتایج: از شماره 1 تا 9 از مجموع 9
سپاس ها 1سپاس

موضوع: IPsec over serial interface

  
  1. #1
    نام حقيقي: Dante

    عضو غیر فعال
    تاریخ عضویت
    Oct 2009
    محل سکونت
    kerman
    نوشته
    12
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    2

    IPsec over serial interface

    با عرض سلام خدمت اساتید



    10 تا روتر 1841 به صورت point to multipoint به یک روتر 2811 متصل شده اند از طریق اینترفیس سریال و مودم Tellabs حلا من میخوام از 1841 ها تا روتر 2811 مرکزی IPsec راناندازی کنم.

    من کانفیگ تمام 1841 ها رو به صورت زیر انجام دادم اما حالا وقتی که به کانفیگ 2811 رسیدم چند تا سوال برام پیش امده.


    ///////////////////////////////////////////////////////////////////

    crypto isakmp policy 10
    encr 3des
    authentication pre-share
    hash sha
    group 2
    lifetime 28800
    crypto isakmp key ehsan address 14.14.14.2
    !
    !
    crypto ipsec transform-set aes-sha esp-aes esp-md5-hmac
    !
    crypto map iran 11 ipsec-isakmp
    set peer 14.14.14.2
    set transform-set aes-sha
    set pfs group2
    match address 101


    access-list 101 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255


    ////////////////////////////////////////////////////////////////////////////////////////////////////
    اولا ایا کاملا امن هست ؟


    چون اینترفیس سریال IP UnNumbered هست روی اینترفیس f0/0 هیچ ip روش ست نشده من Peer روی IP ادرس f0/0 ست کنم ؟ Crypto map که ساختم روی کدام اینترفیس بگذارم اینترفیس سریال میشه اینترفیس Outside اما خوب وقتی روی ان می گذارم ارتباط قطع میشه ؟
    یکی از دوستان گفت یه اینترفیس LoopBack بسازم اینترفیس سریال رو ipunnumbered کنم روی اینترفیس LoopBack بعد crypto map رو هم بندازم رو LoopBakc اینجوری کار می کنه ؟


    سوم اینکه تو 2811 چه جوری چند تا Peer ست کنم ؟ چند تا crypto map باید بسازم ؟



    موضوعات مشابه:





  2. #2
    نام حقيقي: Dante

    عضو غیر فعال
    تاریخ عضویت
    Oct 2009
    محل سکونت
    kerman
    نوشته
    12
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    2
    هیچ کس IPsec کانفیگ نکرده تا حالا یعنی یه نفر نیست اینجا CCSP خونده باشه ؟
    من تو Gns3 تست کردم crypto map رو انداختم رو f0/0 اما خوب وقتی
    دستور show crypto isakmp sa رو اجرا کردم چیزی نشون نداد چون تا زمانی که داده ارسال نشه لینک UP نمیشه.
    خواستم دوتا PC اضافه کنم از Pc ها داده ارسال کنم اما نشد ، image file می خواست که من نداشتم دوستان کسی نظری نداره ؟
    به نظره شما چون اینترفیس اشتباه رو برای crypto map انتخاب کردم دستور show چیزی نشون نداده یا اینکه چون داده ارسال نشده لینک up نشده ؟



  3. #3
    نام حقيقي: محمد

    خواننده
    تاریخ عضویت
    Feb 2010
    محل سکونت
    همه جای ایران
    نوشته
    23
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    1
    سلام
    آره باید برای هر ارتباطت یک crypto map بسازی و بندازی روی اینترفیس سریال.
    این کارو که کردی ارتباطت قطع میشه تا وقتی که این کار رو برای روتر مقابلت هم انجام بدی. اونوقت یک ارتباط امن داری



  4. #4
    نام حقيقي: كاظم

    خواننده
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    259
    سپاسگزاری شده
    210
    سپاسگزاری کرده
    30
    در تکمیل فرمایش دوستان

    شما اگر برای تست داری از روی خود روتر امتحان می کنی از Advance Ping استفاده کن و source address رو بگذار روی اینترفیس مربوط به Lan داخلی یا از PC پشت روتر ها Ping بفرست.

    این مورد برام پیش اومده که از روی روتر امتحان کردم و به خاطر اینکه روتر با یه Source Address دیگه فرستاده تونل تشکیل نشده ولی به محض اولین Ping با Source ip درست تونل بعد از رد شدن 3 پینگ تشکیل شد و Sa رو نشون داد.


    ویرایش توسط kazem_m : 2010-07-13 در ساعت 08:00 AM
    ...Life is too short to wake up with regrets. Love the people who treat you right Forget about ...

  5. #5
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12
    یک IPSec زمان فعال می شود که ترافیک ارسال شامل intereting traffic شود. بلافاصله tunnel شروع به Negotiate می کنه ، دلیلش هم مشهود است چرا اینهم که چند ping اول شما lostl می شود.



  6. #6
    نام حقيقي: كاظم

    خواننده
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    259
    سپاسگزاری شده
    210
    سپاسگزاری کرده
    30
    نقل قول نوشته اصلی توسط shabake_karan نمایش پست ها
    یک IPSec زمان فعال می شود که ترافیک ارسال شامل intereting traffic شود. بلافاصله tunnel شروع به Negotiate می کنه ، دلیلش هم مشهود است چرا اینهم که چند ping اول شما lostl می شود.
    بله جناب منصوری. منظور من هم همین بود. ولی وقتی شما از روی خود روتر Ping کنید معمولا از اینترفیسی که شامل Interest traffic هست ارسال نمی شه. برای همین می بایست از Advance ping با Source درست استفاده کرد. هر Negotiate ای هم یه مدتی طول می کشه و این طبیعی هست. بعد از زمانی که شما به عنوان Ideal Time تعریف می کنید دوباره باید این Negotiate انجام بشه. در کل هم این Negotiate شامل Phase 1 و Phase 2 هست و ....


    ویرایش توسط kazem_m : 2010-07-15 در ساعت 09:44 PM
    ...Life is too short to wake up with regrets. Love the people who treat you right Forget about ...





  7. #7
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12
    خیلی از توضیحات علمی شما برای سایرین. بعد اینکه در مورد idle timeout اینکه ، این زمان globally یا per-crypto map تعریف می شود. و در صورت عدم وجود activity sa خود به خود delete می شود. این زمان بین 600 تا 86400 (یک روز) قابل تغییر است.
    اما یک نکته اونهم اینکه Extended Ping نه Advanced Ping


    kazem_m سپاسگزاری کرده است.

  8. #8
    نام حقيقي: كاظم

    خواننده
    تاریخ عضویت
    Jul 2009
    محل سکونت
    Tehran
    نوشته
    259
    سپاسگزاری شده
    210
    سپاسگزاری کرده
    30
    بله. با تشکر از آقای منصوری که اشتباهات رو اصلاح می کنن و کلام های غیر علمی رو به علمی Convert می کنند. آقا من که چیزی در برابر شما برای گفتن ندارم. اگر هم جسارت کردم چیزی نوشتم به این دلیل بود که شما افتخار همراهی با بحث رو نداده بودید. آقای منصوری یکی از اساتید بزرگ هستند (بدون تعارف و مزاح) و بنده هم از نوشته هاشون تا به حال استفاده کردم. ولی استاد عزیز نه تنها من بلکه خیلی ها شما رو قبول دارند دیگه چرا با طعنه اشتباهات رو به رخ می کشید ؟


    ویرایش توسط kazem_m : 2010-07-16 در ساعت 03:21 PM
    ...Life is too short to wake up with regrets. Love the people who treat you right Forget about ...

  9. #9
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12
    من اصلا تعنه نزدم دوست خوب
    از نوشته های شما مشخص است که از سطح علمی بالایی برخوردارید ، برای همین از شما اننتظار میره که از این اشتباه ها کنید
    صرفا یک نکته بود نه یک تعنه



کلمات کلیدی در جستجوها:

اینترفیس loopback

ipsec

اینترفیس سریال

Serial Interface

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •