Poison Nuke 10 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 Hio, Situation: zwei Locations. In jeder Location sind mehrere VLANs, diese sind aber normalerweise über ein VLAN int auf dem L3 Switch (6509) geroutet. Die Verbindung der beiden Locations findet über normales routing über das Internet statt. Jetzt sind aber in beiden Locations zwei VLANs mit internen IPs die nicht geroutet werden können und die bisher nur jeweils innerhalb der jeweiligen Location funktioniert haben. Jetzt ist es aber nötig, dass diese beiden VLANs über das Internet verbunden werden, routing ist dabei aber nicht möglich. Ideal wäre, wenn ich die beiden VLANs irgendwie über einen VPN Tunnel verbinden könnte. Nur irgendwie fehlt mir da gerade der richtige Ansatzpunkt, wie man sowas bei einem L3 Switch realisieren könnte. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 hm, gute frage ob man dafür am 6500er nicht ein zusätzliches Modul benötigt ? Wenn, dann rennt das wie auf jedem IOS Router auch, via ACL wird dann festgelegt was in den Tunnel kommt, fertig. Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 Meiner Meinung nach hat der Tunnel auf einem L3 Switch ist nichts verloren. Wird vermutlich auch nicht funktionieren. Ich denke das passt besser zu einem Router oder Firewall. Vielleicht kannst du die Situation erklären. Warum kein Routing. Wie sind die beiden Lokationen verbunden.....? lg Franz Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 14. Juni 2009 Autor Melden Teilen Geschrieben 14. Juni 2009 naja, ein 6509 mit einem Superuser 720 3BXL mit der Enterprise Version von IOS hat wohl fast schon mehr Routingfunktionen als die 2xxx und 3xxx Router von Cisco :D von daher kann man das auch nicht so einfach stehen lassen. Verbunden sind die Standorte über mehrere zwischenrouter über multiple 10Gbit Verbindungen. Zwischen den Routern (L3 Switche eigentlich) läuft BGP, da es über mehrere Anschlusspunkte Verbindung zu den Providerbackbones gibt. Aber die Standorte sind grundlegend erstmal komplett über unser Netzwerk verbunden. UNd warum kein Routing erklärt sich schon allein wegen dem IP Bereich von selbst: 192.168.x.x Und aufgrund der Netzwerkstruktur des privaten LANs ist es auch fast ausgeschlossen da einfach mal routing hinzuzufügen. ein VPN ist an sich perfekt, weil es macht genau das was gebraucht wird...zwei lokale Netzwerke über das Internet zu verbinden. Nur das hier halt nicht konventionelle Router zum Einsatz kommen, sondern Enterprise Class L3 Switche. Nur da ich bisher ein VPN lediglich auf Homeroutern eingerichtet hatte, und da nichtmal Cisco :X, komm ich sozusagen gerade nicht auf den Trichter wie ich da bei den Switchen herangehen muss. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 achso, ich bin davon ausgegangen das du weisst wie man das auf Cisco macht :) IKE Phase 1: Router(config)# crypto isakmp policy 1 Router(config-isakmp)#*authentication pre-share Router(config-isakmp)#lifetime 86400 Router(config-isakmp)#encryption aes 128 Router(config-isakmp)#hash sha Router(config-isakmp)#group 2 Router(config-isakmp)#exit Router(config)#crypto isakmp key blabla address 192.168.1.1 (<-Peer IP) IKE Phase 2 Router(config)#crypto ipsec transform-set MYSET esp-aes es-sha-hmac setzt ESP mit SHA Hash und AES ein Router(cfg-crypto-trans)#exit Router(config)#accesslist 101 permit ip source destination (legt den interesting traffic für IPSec fest) Router(config)#crypto-map MYMAP 10 ipsec-isakmp Router(config-crypto-map)#set peer 192.168.1.1 Router(config-crypto-map)#set transform-set MYSET Router(config-crypto-map)#match address 101 Router(config-crypto-map)#exit Router(config)#interface fa0/0 Interface Richtung IPSec Peer Router(config)#crypto map MYMAP das sollte so passen Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 Hi, die frage ist - ob der 6509 da alles kann - bei AES solltest du aber besser GP 5 nehmen. Habe gerade mal im "Software Advisor" nachgesehen - die Befehle sollte er auch kennen. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 14. Juni 2009 Autor Melden Teilen Geschrieben 14. Juni 2009 danke schonmal. crypto isakmp und ipsec ist zumindest schonmal in der Befehlsübersicht vorhanden :) werde das dann erstmal in einer Testumgebung probieren, bevor da am großen Switch noch was schiefläuft :D aber eine Frage hab ich da noch: was ist die PeerIP? Ist das die interne IP von dem VPN? Und das Interface richtung IPSec peer, wenn ich da diese cryptomap aktiviere, läuft der andere traffic da trotzdem noch ganz normal drüber? Weil hätte da jetzt sorgen, dass es da einfach mal eins der 10Gig interfaces weghaut, und da ausschließlich nur der noch VPN drüberläuft. Das wäre nicht so vorteilhaft. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 peer IP ist die IP des gegenübers Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 ok und was ist mit dem Interface auf dem ich cryptomap aktiviere? das normale ROuting das über dieses interface läuft wird davon nicht beeinflusst? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 ne, über die ACL wird ja geregetl was in den tunnel soll oder nicht. Mit IP des Gegenübers meine ich natürlich die IP die über das offizielle Netz erreichen kannst...also quasi die "WAN IP" dort drüben Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 oki thx. Jetzt noch eine etwas weiterführende Frage...die 6500 haben mehrere "WAN" Verbindungen, damit bei Ausfall von einem Router oder einer Leitung immernoch die volle Bandbreite verfügbar ist. Ist es möglich den VPN Tunnel dynamisch auf mehrere WAN Interfaces zu legen, damit bei Ausfall von einer Verbindung dennoch der Tunnel weiterläuft ohne Unterbrechung? Weil so wie ich das verstehe wird der Tunnel ja mehr oder minder fest auf ein Interface gelegt? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 hm...keine ahnung...evtl. könnt eman als peer eine IP nehmen die über mehrere WAN Verbindungen erreichbar ist (also irgendeine Loopback drüben zB) verwenden und dann müsste man die crypto-map auf allen möglichen egress Interfaces binden ? Hab ich allerdings noch nie konfiguriert,könnte mit diesem ansatz also garnicht klappen oder auch bös ins Aug gehen :) Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 Du könntest GRE Tunnel nehmen. Point-to-Point GRE over IPsec Design Guide - Point-to-Point GRE over IPSec Design and Implementation [Design Zone for WAN/MAN] - Cisco Systems Zitieren Link zu diesem Kommentar
lexus 10 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 Hallo, ich würde dir auch vorschlagen dein VPN über GRE-Tunnels zu realisieren. Ist wesentlich einfacher einzurichten und du hast den Vorteil, das du ein virtuelles Interface hast, das (fast) ohne Einschränkungen am Routing teilnehmen kann. Dafür wirst du in vielen Fällen sehr dankbar sein ;-) Hier findest du ein paar Infos, was man mit GRE so anstellen kann: GRE tunneling with IPSec encryption Using EIGRP with IPSEC encrypted GRE tunnels Bridging across GRE tunnels (experimental) Gibt auch sonst noch ein paar informative Beiträge auf der Website... Ich kann dir aber leider nicht sagen, ob GRE auf der Cat65xx Plattform unterstützt wird. Mfg Lexus Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 vielen dank schonmal :) das klingt sehr interessant. Das werde ich aufjedenfall testen, wenn ich etwas Zeit finde 8) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.