Първата схема
На пръв поглед скучна задача - да се съчетаят двата офиса на кодирани канали. Само, че е необходимо да се изгради един сайт сайт към VPN и криптирана с помощта на карта за шифроване. Всичко това е, ако информацията не е държавна структура. Не можете да използвате на врага криптографски алгоритми и хардуер. Той е под тази задача са избрани ISR маршрутизатори второ поколение 2911R. писмо на Рч в края на името показва, че тези рутери са били произведени в Русия. За кодиране на трафика ще използва модулите за тези рутери - NME RVPN извършена както разширителни карти за ISR. Те са на борда на български софтуер от S-Terra компания и, разбира се, "Krypto около". В действителност, на борда е отделна машина тичане RedHat Linux с няколко softiny от практиката. Той има един външен порт в допълнение към общата превключване автобус, който свързва всички тези модули в ISR.
За изпитванията, реших да се съберат схема, която е показана на първата снимка.
Събиране на тази схема сложност не е така. Въпроси започнаха да се появяват, като взех модулната конфигурация.
Как да добавите dot1.q интерфейс
Тази процедура е описана в ръчен модул, но след посочените пакети чрез установените интерфейс не отидох. Те очевидно филтрува процес vpnserver. За пореден път, прочетете ръководството за секции, моля, имайте предвид следното:
"Ако if_mgr добавите команда е регистриран нов защитен интерфейс, след като заменя Cisco подобни конфигурация, за този интерфейс ще се проведе мълчаливо правило Капка всички, защото, когато конвертирате Cisco подобни конфигурация на филтри за всеки интерфейс са предписани индивидуално следващия път, когато конвертирате Cisco подобни конфигурация новият интерфейс ще бъде добавен към тази конфигурация и тя ще работи на общите правила, както и за други интерфейси. "
Така че, да добавяте шофьорски интерфейс, отидете на командос cs_console на обвивката, отидете в контекста на интерфейса, направете изключване, излезете от режима на конфигурация. И тогава там е "конвертирате Cisco подобни конфигурация." Отново, отидете на режима на конфигурация, като не изключване, липа-ти-ти, пакети отиват. Единственото нещо, което трябва да знаете (това, което съм дошъл) cs_console неправилно пренаписва интерфейс файл, ако DOT1.Q. интерфейс След изпълнението на тази операция /etc/sysconfig/network-scripts/ethX.X правилния файл. Ръководството казва, че ONBOOT трябва да бъде равна на FALSE. Реших да направя така. След rubuta интерфейс се е повишила, но пакетите не отиде отново. Тя направи чрез ръчно - добавя към /etc/rc.local линия "/ sbin / ifup ethX.X"
Както криптиране (стандартна конфигурация)
Конфигурацията на пробен пуск на пое от "RVPN_Quick_Start_Guide.pdf".
В първата схема, Счупих рутер 2 VRF: LAN и глобално. Връзка към тях, тъй като времето е RVPN модул. IPSEC тунел започна през рутер модул завършва, съответно, в другата модула. GRE тунел започна от предния клас маршрутизатори на масата на глобалната маршрутизация. По този начин, се оказа, че заглавията GRE не са криптирани, и полезния товар вече е под формата на ESP.
По това може да спре, но не ми хареса с два допълнителни хоп, когато правите онлайн пакет. Пакетите за интернет летят през RVPN модул. Възможно ли е да се направи връзка между VLAN на VRF чрез ключ и два рутера интерфейс, или Рут mapom хвърлят пакети, където искате, но клиентът не поддържа VLAN ключ и Рут mapom не е много хубаво се получава в резултат на NAT. Така че, в този случай, не е необходимо да се използва дял на VRF.
След всички изпитания и грешки образуват проста и ясна схема. Както се оказа, че се смята за първата от ръчна настройка site_to_site тунел между маршрутизаторите, използващи RVPN модул.
Проблемът с падането на OSPF.
извита верига се опитват да подредят
Решение: не рекламират маршрута на тунела дестинация в самия тунел.
Бях последния допир - настройте на QoS. В офис връзка 5 Mbps, в друг ADSL 8/1 (1 Mbps изходящи). Ние използваме политика за класификация на входа и на изхода на йерархична разписание.