|
|
 |
MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP |
 |
Cisco Forum — Allgemein
Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls |
 |
05.07.2007, 17:54
|
#1
|
|
Newbie
Offline
Registriert seit: 07-2004
Beiträge: 19
|
Routing zwischen 3 Standorten
Hallo Forum,
ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst.
Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht.
Standort A Netzwerk 10.0.0.0/16
Standort B Netzwerk 192.168.42.0/24
Standort C Netzwerk 192.168.4.0/24
Standort D Netzwerk 192.168.44.0/24
Standort A:
version 12.3
no service pad
!
hostname Router-A
!
ip name-server 217.237.149.161
ip name-server 217.237.151.225
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
isdn switch-type basic-net3
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxx address 999.999.999.999
crypto isakmp key xxxxx address 888.888.888.888
crypto isakmp key xxxxx address 777.777.777.777
!
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac
crypto ipsec transform-set SET2 esp-3des esp-sha-hmac
crypto ipsec transform-set SET3 esp-3des esp-sha-hmac
!
crypto map XVPN 1 ipsec-isakmp
set peer 213.146.119.47
set transform-set SET1
match address 101
crypto map XVPN 2 ipsec-isakmp
set peer 217.91.53.48
set transform-set SET2
match address 102
crypto map XVPN 3 ipsec-isakmp
set peer 87.139.18.218
set transform-set SET3
match address 103
!
interface Tunnel1
ip address 192.168.191.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 999.999.999.999
crypto map XVPN
!
interface Tunnel2
ip address 192.168.192.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 888.888.888.888
crypto map XVPN
!
interface Tunnel3
ip address 192.168.193.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 777.777.777.777
crypto map XVPN
!
interface FastEthernet0
description $ETH-WAN$
no ip address
no ip unreachables
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
ip address 10.0.1.253 255.255.0.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1456
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname inetuser
ppp chap password password
ppp pap sent-username inetuser password password
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.4.0 255.255.255.0 Tunnel1
ip route 192.168.42.0 255.255.255.0 Tunnel2
ip route 192.168.44.0 255.255.255.0 Tunnel3
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source route-map XMAP1 interface Dialer0 overload
ip nat inside source route-map XMAP2 interface Dialer0 overload
ip nat inside source route-map XMAP3 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
!
Fortsetzung folgt..
|
|
|
|
|
|
05.07.2007, 17:56
|
#2
|
|
Newbie
Offline
Registriert seit: 07-2004
Beiträge: 19
|
Fortsetzung:
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 23 permit 10.0.0.0 0.0.255.255
access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
access-list 105 permit ip 10.0.0.0 0.0.255.255 any
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
access-list 111 permit ip 10.0.0.0 0.0.255.255 any
access-list 111 permit udp any any
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
route-map XMAP1 permit 1
match ip address 101
!
route-map XMAP2 permit 1
match ip address 102
!
route-map XMAP3 permit 1
match ip address 103
!
route-map nonat permit 10
match ip address 105
!
end
Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C.
Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert.
Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert.
Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe.
Ich danke schon mal im Voraus.
Viele Grüße
Dieter
|
|
|
|
|
|
06.07.2007, 09:39
|
#3
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Such mal bei Cisco.com nach "DMVPN", da konfigurierst du die Zentrale als Hub und die Standorte als Clients welche das VPN dann ueber den Hub untereinander herstellen. Sparste dir auch viele Zeilen in der Konfiguration  |
|
|
|
|
11.07.2007, 00:47
|
#4
|
|
Newbie
Offline
Registriert seit: 07-2004
Beiträge: 19
|
Hallo Wordo,
ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.
Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.
Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.
Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).
Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?
Viele Grüße und Dank
Dieter Kühlborn
|
|
|
|
|
|
11.07.2007, 01:40
|
#5
|
|
Gast
Offline
Registriert seit: 04-2003
Ort: Lublin
Beiträge: 506
|
Zitat von DieterK
Hallo Wordo,
ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.
Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.
Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.
Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).
Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?
Viele Grüße und Dank
Dieter Kühlborn
|
hallo DieterK
dein Router 831 sollte DMVPN als spoke unterstützen können:
Configuring DMVPN Spoke Router in Full Mesh IPsec VPN Using SDM [IPSec Negotiation/IKE Protocols] - Cisco Systems
Code:
Cisco IOS Software Release 12.3(8)T, Cisco 831 Series Router (C831-K9O3SY6-M)
p.s
an deiner stelle, wäre nächstes mal wirklich sehr vorsichtig, config files mit öffentlichen IP adressen einfach so zu posten.
wir sind ganz "nette" leute.
dies ist eine anständige kneipe, kein hacker forum, aber man weiss nie...
gruss
ccc |
|
|
|
|
|
11.07.2007, 09:29
|
#6
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Zitat von DieterK
Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?
|
Mit Sicherheit, die Frage ist eher ob du sie auch besorgen kannst?  |
|
|
|
|
11.07.2007, 09:37
|
#7
|
|
Newbie
Offline
Registriert seit: 07-2004
Beiträge: 19
|
Hallo Wordo,
nach meinen Recherchen benötige ich das PLUS-Paket für meine Firmware. Mein Lieferant (Techdata/azlan) behauptet jedoch, dass eine Lieferfrist von 4 Wochen besteht. Ist das real oder kann die Software man das auf einer andere seriösen Weise schneller bekommen?
Viele Grüße
Dieter
|
|
|
|
|
11.07.2007, 09:46
|
#8
|
|
Board Veteran
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
|
Du kannst dir einen SMARTnet Vertrag holen, kostet ca 70 Euro fuer Service Kategorie 1 (sollte passen, auf eigene Gefahr). Damit kannst du dann 1 Jahr lang so viele IOS Versionen von Cisco.com laden wie du willst. Ob das in weniger als 4 Wochen ueber die Buehne laeuft kann ich dir nicht sagen.
Ich hab nen SMARTnet mit Kategorie 6, da kann ich laden was ich will, ob das mit 1 genauso geht weiss ich leider nicht. Kat 6 kostet aber ueber 400 Euro fuer ein Jahr.
|
|
|
|
|
|
|
