Сообщения без ответов | Активные темы Текущее время: 04 апр 2020, 23:36



Ответить на тему  [ Сообщений: 4 ] 
IKEv2 policy 
Автор Сообщение
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1377
Приветствую дядьки.
Помогите структурировать кашу в голове касательно IKEv2, в особенности policy, а то пользую во весь рост, а полного понимания нет. Как я понимаю есть keyring отвечающий ключи к пирам. Есть profiile в которых ловятся пиры и привязываются keyring, далее profile вешается на интерфейс. Параллельно есть proposal с допустимыми шифрами. Есть policy на который вешается этот proposal и можно матчить соседов по vrf и локальному адресу. Как я понял попадания в profile и policy никак не связаны. Возникла задача с FlexVPN - hub одной сети должен быть spoke'ом в другой, причем proposal там не пересекаются, один WAN с одним адресом и соответственно все в одном VRF. Чо можно в таком случае сделать и правильно ли я понимаю структуру?


12 дек 2019, 10:59
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 394
Откуда: Moscow
Нужно еще учитывать, что в IKEv2 в IOS используется Smart Defaults.
Т.е. если каких-то профайлов в конфиге нет, то они могут быть default.

Код:
IKEv2 Smart Defaults (Intelligent, reconfigurable defaults):

crypto ipsec transform-set default
 esp-aes 128 esp-sha-hmac

crypto ipsec profile default
 set transform-set default
 set crypto ikev2 profile default

crypto ikev2 proposal default
 encryption aes-cbc-256 aes-cbc-128 3des
 integrity sha512 sha256 sha1 md5
 group 5 2

crypto ikev2 policy default
 match fvrf any
 proposal default

crypto ikev2 authorization policy default
 route set interface
 route accept any


What you need to specify:

crypto ikev2 profile default
 match identity remote address 10.100.1.1
 authentication local rsa-sig
 authentication remote rsa-sig
 aaa authorization user cert list default default
 pki trustpoint TP
!
interface Tunnel0
 ip address 192.168.100.1 255.255.255.252
 tunnel protection ipsec profile default

_________________
Knowledge is Power


12 дек 2019, 15:05
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1377
Вот как раз нет, если руками задана policy с proposal отличным от default то smart defaults в плане proposal не включаются. Smart defaults это просто не показываемые блоки конфигурации.


12 дек 2019, 15:08
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 394
Откуда: Moscow
Bessmertniy писал(а):
Вот как раз нет, если руками задана policy с proposal отличным от default то smart defaults в плане proposal не включаются.
Smart defaults это просто не показываемые блоки конфигурации.

Я именно это и написал.
Эти блоки непоказываемые, но используемые. Нужные вы можете переопределить или создать свои.

_________________
Knowledge is Power


12 дек 2019, 15:15
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB