Заранее извиняюсь за глупые вопросы, не было времени изучить ИОС и циски как следует, а работа ждёт..
Есть несколько вопросов, которые хотелось бы понять как можно быстрее, так как командировка в понедельник, а я не в зуб ногой, читаю, курю, боюсь, не успею просветлиться..
Задача такова:
Поставить в двух филиалах две soho циски, 857 модели(adsl+4 level-2 ethernet). Между ними ipsec, чтобы лазили друг к другу в сетки.

Ладно, взял их, включил, удалил из дефаулта dhcp, баннеры всякие, соединил их ethernet'ом, проставил на vlan1 ипы 192.168.200.10 и 192.168.10.11. Пытаюсь со второго первый - пинг идёт. Со первого на вторую - не идёт. Конфиги идентичные, за исключением IPшников.


Current configuration : 2758 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname krasnodar1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
no vlan accounting input
!
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.10.10 255.255.255.0 secondary
ip address 192.168.100.7 255.255.255.0
ip tcp adjust-mss 1452
!
ip classless
!
no ip http server
no ip http secure-server
!
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

это первая циска. У второй IP 192.168.10.11.

Сейчас подключены так: циска2 -> циска1 -> LAN.
Из LAN обе пингуются. Циска2 пингует циску1. Циска 1 не пингует циску2. Это так задумано что ли? :) Там же 4 эзернета в каждой, пинговать должны друг друга они. Считай свичи. Не понимаю...

Это первая проблема.
И есть 2 недопонимания: что подразумевается под vlan1? Нельзя больше вланов создавать, есть только этот. Я так понял, это как виртуальный интерфейс, который подключен ко всем FastEthernet интерфейсам, чтобы он мог в сеть смотреть. А adsl порт в инет. Правильно ли я понял?
второе недопонимание - каким образом строится Ipsec между ними? Пока особо не ориентируюсь по докам на cisco.com, идеологию пытаюсь понять построения документации на сайте.. 2 книжки купили по курсу ccna, оказалось, что шифрование, в том числе и ipsec, не входит в курс ccna. сcnp, видать, могут только шифроваться :)
Скажу большое спасибо на ссылки и советы по настройке ipsec между хостами. Времени есть только ночь с субботы на воскресение и само воскресение, в понедельник поезд.. Успею ли разобраться..

ipsec...
Судя по тому, что ты написал, тебе нужен ВПН-канал между офисами, в эту сторону и копай. Я сам не знаю как и что в кошке в этом плане нужно сделать, поэтому не скажу.

эт верно, впн и нужен, но я не могу даже оттестить впн, почему-то одна циска не имеет связь с другой, хотя та другая имеет связь с этой. Меня это в ступор вводит. И, ес-сно, никакие туннели не поднимаются.
Погуглив, нашёл, что ipsec сам не строит тунели, он использует gre для этого.
Но разобраться б с проблемой непинговальности..

а тут нагуглил, что не gre, а gif..
непонятно всё это, просветления не настало ещё :)
вроде как мне нужен именно транспортный режим ipsec

Гугли на тему site-to-site cisco. Все, чем я могу помочь :(

что-то, типа, мини-фак:

1. на серии soho (она кстате уже end-of-sale, тобишь старая) может быть только 1 управляющий вилан - если заводишь второй виллан (вешаешь на него ип, и говоришь вилану no shut), первый переходит в состояние shutdown (падает), ну и реккомендую юзать cisco-sb серию, это логическое продолжение серии soho (на сохи уже иосы индусы не пишут)

2. ccna|ccnp и прочую бумажную продукцию можно курить только для теории, как правило >50% инфы, к выходу на продажу книжки, успевает устаревать..

3. gre - это такой тип инкапсуляции (Generic Routing Encapsulation), оригинальный цицковский. интерфейс инкапсуляции называется tunnel, т.е. в нем траффик не шифруетса..

4. сам стандарт ипсек гласит что у него есть 2 фазы: 1 IKE (которые раньше был разрозненным Oakley, ISAKMP и проч.) - обмен ключей и установка защищенного канала передачи данных, 2 IPSec – собственно передача данных (которые так же шифруются). Тут цицко немного отошел от стандарта и IKE у них по старому называется isakmp, это нормально, просто надо подразумевать, что у цицко называется isakmp на самом деле IKE :) (это чтоб не смущала теория).

5. сам ипсек между сиськами можно построить нескольками способами:
1 фазу можно построить 3 способами: pre-shared key, rsa key, x509 certs - это стандарт(ы) ipsec, а не циски, т.е. таким образом строится ипсек и на люниксе, и на венике (за некоторым исключением). пацанский способ считается - или сертификаты, или оказии rsa. соотв. прешареды - сакс.. рекомендую rsa, т.к. с сертификатами будешь долго разбиратся..
2 фаза делается или крипто туннелями (crypro tunnel protection) (1), или крипто картами (crypto map, который как раз описан в книжках) (2). В первом случае получим IPSsec`over`GRE, во втором GRE`over`IPSec. Рекомендую делать крипто туннели (1), так как в этом случае можно получить более гибкую конфигурацию.

6. сооотв. вышесказанному надо сделать: a – определить политику isakmp (тобишь IKE) (должна быть одинаковая на обоих сторонах, к примеру делаем, с использованием rsa оказий), b – определить политику ipsec (опять-таки должна быть одинаковая на обоих участниках, выбираем crypto tunnel protection)..

7. реккомендую так же добавить димамику (ну не люблю я статики), к примеру ospf, чтобы все это дело рулилось само (помогает от головной боли, когда офисов не 1-2, а больше сотни), к примеру так:

branch:

! цицко в филлиале
router ospf 1
log-adjacency-changes
passive-interface default
no passive-interface Tunnel0
! филлиальская сеть
network 172.16.1.0 0.0.0.255 area 192.168.255.0
! туннельная сетка
network 192.168.255.0 0.0.0.3 area 192.168.255.0


office:

! цицко в головном оффисе
router ospf 1
log-adjacency-changes
passive-interface default
no passive-interface Tunnel0
! тут у нас будут туннели со всех бранчов
no passive-interface Tunnel2
...
! туннельная сетка
network 192.168.255.0 0.0.0.3 area 192.168.255.0
! наша "главная" сетка
network 10.0.0.0 0.0.255.255 area 0

если у тебя в оффисе 1 канал связи (и через него идет этот туннель), то можно эту сеть обьявить стабом (тупиковой, типа в ней дальше никаких сетей нету), делаеца так:
area 192.168.255.0 stub
добавляется на оба рутера (и головной, и бранчовый)
совсем круто, ставить еще аутентификацию на рассылку ospf area 0 authentication... итд.. короче много чего еще можно сделать :)

пс: и на последок, Мишкина статья, где по шагам расписано как построить ипсек, вышеописанным способом:
http://dreamcatcher.ru/index.php?option=com_content&task=view&id=7&Itemid=4

удачных туннелей :)

ого! спасибо за такой объё инфы!
по поводу первого пункта - вилан попросту не создаётся. Не даёт создать. Но эт я догадался, что там урезано это.
с ipsec ещё помучаюсь. В ospf лезть даже не хочу :) изучал через википедию, но тогда не было цисок ещё тогда. В головной офис в ядро не купили циску, там стоит freebsd как основа, я по gre нешифрованному с одним офисом уже соединил сети, фильтрую фаером бсдшным пока что. Тестовой площадки для прогона ospf нету, выбивать надо ещё в центр циску.. Пока не покупают, но я сражаюсь :)

Пока проблема в том, что я не могу оттестить вообще коннекты между двумя soho. Одна видит другую циску, а та другая не видит первую. Голову я тут сломал.. Конфиг в первом посте кинул. Подключены они через свои эзернеты друг к другу. Прежде, чем я смогу пробовать ipsec между ними поднимать, надо разобраться с тем, что одна наотрез не хочет видеть другую.
На той, которая не хочет видеть вторую:
sh ip route
C 192.168.10.0/24 is directly connected, Vlan1
C 192.168.100.0/24 is directly connected, Vlan1
на второй, которая видет первую:
C 192.168.10.0/24 is directly connected, Vlan1

вторая подрублена пачкордом к первой в ethernet, первая из второго эзернета подрублена в свич с LAN.
1) из LAN пингую обе циски.
2) Циска, подрубленная к ЛАН и к другой циске пингует только ЛАН.
3) Циска, подрубленная тольк другой циске пингует и ЛАН, и эту циску.
Как можно промониторить проблему?

честно говоря, не совсем понял проблему (топологию), или мож от того что пиво пьетца на ура (: фряху с цицкой я по ипсек не вязал, как то руки не дошли, но делал на опенке (еще с бородатой версии у него isakmpd в ядре) - поднимается на раз..

эм.. чуть позже в партсобрании выложу конфиги своих кошек.
У нас soho в филиалах и пикс в центре держат меж собой канал ипсек по прешаред ключам.
Только сохи у мну 871

Done (http://www.vagrant.ru/showthread.php?t=7886)

да топология примитивная, это ж тестовый образец.
вложить картинку не удалось, выложил у себя:
http://games.forceline.net/masti/ciscos.jpg

- PC пингует soho1 и soho2
- soho 1 пингует soho2 и PC
- а вот soho2 НЕ пингует soho1, хотя успешно пингует PC.

вот почему soho2 не пингует soho1 ??

в принципе, это уже не важно, завтра утром выезжаем со всем этим добром, не удалось потестить ipsec, так как одна циска наотрез отказывалась видеть другую.
Но из спортивного интереса, может кто знает, что не нравилсь ей?

За примеры и объяснения по поводу ipsec огромное спасибо slim'у, распечатаю, + в инете док понараспечатаю, буду на месте там разбираться.

2c0re: ага, врубился теперь (:
у тебя на вилане 1 повешено 2 ip адресса из разных сетей, во избежание путаници, пинг делать надо с указанием сорса:

ping ip 192.168.10.10 so 192.168.10.11

уже не попробую..
хотя странно, ping 192.168.10.5 идёт! без указания so
када ещё привезут цисок, буду пробовать :)
спасиб

лоханулся с модельками..
85х модели поддерживают только default IOS, в котором нет OSPF - только rip. 87х модели прддерживают, но не с дефаултным иосом - то есть покупать надо
а хотелось в продакшене погонять/потестить :(
интересно, скок всё-таки стоит ИОС для 87х с поддержкой ospf..

кстати - на зеленом народ говорил что показывали 851 сохам, иос от 877, и 851 принимала иос.
Моя домашняя 851, отказалась заливать иос от 871 advsecurity

уже не попробую..
хотя странно, ping 192.168.10.5 идёт! без указания so
када ещё привезут цисок, буду пробовать :)
спасиб
Все правильно.
Когда ты с Soho2 пингуешь Soho1, ты шлешь ICMP пакеты, в которых в качестве адреса источника пишется первичный адрес с интерфейса, и как ему ответить Soho1 знает.
Когда ты с Soho1 пингуешь Soho2 ты шлешь ICMP пакеты, в которых в качестве адреса источника пишется первичный адрес с интерфейса, а как ему ответить Soho2 не знает.

Поэтому либо надо указать адрес источника через so, либо поменять местами адреса на Soho1.

не помню уже проблему, но суть проблемы - а ля в свич воткнуты 2 сохи и писюк, все в одной подсети. Обе сохи пингуют писюк, писюк пингует обе сохи, сохи не пингуют писюк.
но за давностью времен проблема не актуальна, суть я её до коца сам не помню