Поговорим о, vPN -ах?

IGP over L2TPv2/v3 aaa new-model, username для авторизации L2TP пира, vpdn-group, interface Virtual-Template, IGP (router ospf process) username для авторизации L2TP HUBa, interface virtual-ppp, pseudowire class, IGP (router ospf process) Нет Нет Да Очень масштабируемый. Pptp Vpdn-group, interface Virtual-Template, IP local pool, username/password для авториз-и, static route до сетей. Success rate is 100 percent (5/5 round-trip min/avg/max 4/5/6 ms Проверка сходимости IPSec LAC #sh crypto isakmp sa IPv4 Crypto isakmp SA dst   src   state  conn-id  status     QM_idle  1001  active Проверка установления политик безопасности (SA) LAC #sh crypto ipsec sa interface: Ethernet0/0 Crypto.

Сообщения режима Main Mode (MM - IKE_ready New State IKE_I_MM1 - IKE_I_MM1 New State IKE_I_MM2 - IKE_I_MM2 New State IKE_I_MM3 - IKE_I_MM3 New State IKE_I_MM4 - IKE_I_MM4 New State IKE_I_MM5 - IKE_I_MM5 New State IKE_I_MM6 Aggressive Mode (3 сообщения) Инициатором в первое сообщение помещается предложение. Interface Virtual-Template1 ip unnumbered Loopback1 ip mtu 1400 ip tcp adjust-mss 1360 peer default ip address pool static (pptp-Pool нам уже не нужен) ppp encrypt mppe auto ppp authentication ms-chap-v2 chap callin Сам TXT файлик static2.txt. Sending 100, 100-byte icmp Echos to, timeout is 2 seconds: Формат пакета L2TPv2 over IPSec Формат пакета IP ESP header UDP L2TP PPP ESP trailer Auth trailer Overhead ESP_header (8байт) UDP (8байт) L2TPv2 (8байт) PPP (4 байта) ESP_trailer (min 2байта) SHA_auth (160бит   20 байт). Меньше конфигурации засчет объединения типовых настроек в profile.

Настройка через Virtual Tunnel Interface профайлы. Для корректной работы ospf необходимо выставить network type как broadcast. Ip access-list extended TO_Spokes permit ip permit.е.

Офиса Да: static route до внутренних сетей удаленного офиса Да: static route до внутренних сетей удаленного офиса Да Масштабируемый. Использование Unnumbered IP в качестве адреса dvti обязательно Easy VPN ААА для авторизации клиентов Isakmp, isakmp policy, isakmp profile, ipsec profile, interface, Virtual-Template type tunnel dhcp для клиентов Minimum IPsec client конфигурация, с указанием VPN-сервера, VPN группы, пользователя для ааа, Указание внутренних и внешний интерфейсов. IPSec with dynamic IP (Dynamic VTI and Static VTI and IGP) keyring, isakmp policy, isakmp profile, ipsec profile, loopback for unnumbered interface (обязательно Virtual-Template type tunnel keyring, isakmp policy, isakmp profile, ipsec profile, loopback for unnumbered interface, Static VTI Нет Нет Да Очень масштабируемый. IKE Фаза 2 IPsec SAs/SPIs На этом этапе isakmp ответственен за обмен сессионными ключами и согласование политик безопасности (SA) для обеспечения конфиденциальности и целостности пользовательского трафика. Method  Status   Protocol Ethernet0/0    YES nvram   up  up Ethernet0/1  unassigned  YES  manual   up  up Ethernet0/2  unassigned  YES nvram  down   down Ethernet0/3  unassigned  YES manual    up  up Loopback0   YES manual  up  up Loopback1    YES manual  up   up Virtual-Access1   YES unset  up .

Пользователь cisco2 авторизован и сессия установлена. На каждый туннель своя подсеть.