Anticisco http://www.anticisco.ru/forum/ |
|
IKEv2 policy http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11204 |
Страница 1 из 1 |
Автор: | Bessmertniy [ 12 дек 2019, 10:59 ] |
Заголовок сообщения: | IKEv2 policy |
Приветствую дядьки. Помогите структурировать кашу в голове касательно IKEv2, в особенности policy, а то пользую во весь рост, а полного понимания нет. Как я понимаю есть keyring отвечающий ключи к пирам. Есть profiile в которых ловятся пиры и привязываются keyring, далее profile вешается на интерфейс. Параллельно есть proposal с допустимыми шифрами. Есть policy на который вешается этот proposal и можно матчить соседов по vrf и локальному адресу. Как я понял попадания в profile и policy никак не связаны. Возникла задача с FlexVPN - hub одной сети должен быть spoke'ом в другой, причем proposal там не пересекаются, один WAN с одним адресом и соответственно все в одном VRF. Чо можно в таком случае сделать и правильно ли я понимаю структуру? |
Автор: | Silent_D [ 12 дек 2019, 15:05 ] |
Заголовок сообщения: | Re: IKEv2 policy |
Нужно еще учитывать, что в IKEv2 в IOS используется Smart Defaults. Т.е. если каких-то профайлов в конфиге нет, то они могут быть default. Код: IKEv2 Smart Defaults (Intelligent, reconfigurable defaults): crypto ipsec transform-set default esp-aes 128 esp-sha-hmac crypto ipsec profile default set transform-set default set crypto ikev2 profile default crypto ikev2 proposal default encryption aes-cbc-256 aes-cbc-128 3des integrity sha512 sha256 sha1 md5 group 5 2 crypto ikev2 policy default match fvrf any proposal default crypto ikev2 authorization policy default route set interface route accept any What you need to specify: crypto ikev2 profile default match identity remote address 10.100.1.1 authentication local rsa-sig authentication remote rsa-sig aaa authorization user cert list default default pki trustpoint TP ! interface Tunnel0 ip address 192.168.100.1 255.255.255.252 tunnel protection ipsec profile default |
Автор: | Bessmertniy [ 12 дек 2019, 15:08 ] |
Заголовок сообщения: | Re: IKEv2 policy |
Вот как раз нет, если руками задана policy с proposal отличным от default то smart defaults в плане proposal не включаются. Smart defaults это просто не показываемые блоки конфигурации. |
Автор: | Silent_D [ 12 дек 2019, 15:15 ] |
Заголовок сообщения: | Re: IKEv2 policy |
Bessmertniy писал(а): Вот как раз нет, если руками задана policy с proposal отличным от default то smart defaults в плане proposal не включаются. Smart defaults это просто не показываемые блоки конфигурации. Я именно это и написал. Эти блоки непоказываемые, но используемые. Нужные вы можете переопределить или создать свои. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |