Cisco IPSec Shared Gateway

Cisco IPSec Shared Gateway

Am inceput aici, “Cisco OSPF External”, cu noua sectiune @ scribble_. Desi inca nu s-a incumentat nimeni sa raspunda, as vrea sa va propun o noua provocare.

Pentru reteaua din imagine ar trebui sa configuram un Gateway IPSec (R1-IPSEC) al carui scop va fi sa termine conexiuni VPN catre clientii C1, C2 si C3, care folosesc echipamentele R5-C1, R6-C2, respectiv R7-C3. R3-H1 si R4-H2 sunt echipamentele configurate ca si surse peste conexiunile IPSec. R0-GW este doar o interfata intre reteaua noastra si furnizorul Internet, poate fi un simplu switch L3 pentru simplitate. R2-INT il putem privi ca tinand locul unei retele ISP, cea care face legatura intre reteaua noastra si retelele clientilor. Nu ezitati sa puneti intrebari legate de topologie.

Cisco IPSec Gateway
Cisco IPSec Gateway

Problema pe care trebuie sa o rezolvam este ca am putea avea clienti destul de “incapatanati” (C1 si C2) care, din intamplare, propun aceleasi clase IP pentru a fi solosite ca si surse/destinatii peste conexiunile IPSec, propuneri pe care nu le putem influenta.

Avem urmatoarele conexiuni IPSec, fiecare conexiune trebuie sa permita traficul unicast si multicast:

Unicast
1. H1, 10.10.10.0/24, trebuie sa acceseze 1.1.1.0/24, C1 (am sugerat eu ca am putea folosi Crypto Map aici)
2. H1, 10.10.10.0/24, trebuie sa acceseze 3.3.3.0/24, C3 (am sugerat eu ca am putea folosi Tunel Static aici)
3. H2, 20.20.20.0/24, trebuie sa acceseze 1.1.1.0/24, C2 (am sugerat eu ca am putea folosi Crypto Map aici)

Multicast
ping 239.0.0.1, sa raspunda H1 si C1
ping 239.0.0.2, sa raspunda H2 si C2
ping 239.0.0.3, sa raspunda H1 si C3

Provocare este sa obtin de la voi ce solutii credeti ca ar fi potrivite pentru a configura echipamentul R1-IPSec, astfel incat sa depindem cat mai putin, de preferat deloc, de adresele IP folosite ca si surse/destinatii pentru conexiunile IPSec.
Toate echipamentele sunt Cisco ISR.

Am in vedere trei solutii pe care le voi propune si eu la final daca din partea voastra vad un interes pentru aceasta solutie.

Recompensa este o simulare in Dynamips pentru cea mai buna solutie, pe care va las pe voi sa o propuneti!

2 Comments

  1. Asta cu clientii incapatanati care folosesc aceleasi ip-uri este ca in bancul “cum sa evitam un viol ?”. Raspuns: “Convingem fata” 🙂

  2. Author

    @DragosV dragut bancul; exista cazuri cand asa se intampla, poate termenul de client a fost gresit ales, sa ii spunem un colaborator.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.