форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"isakmp policy"	+/–
Сообщение от RET (ok) on 28-Апр-09, 17:46
Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями  роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу. Вот вырезки из конфига: crypto isakmp policy 50 encr aes 256 ! crypto isakmp policy 100 encr aes 256 authentication pre-share crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 30 10 periodic ! crypto ipsec security-association lifetime seconds 86400 crypto ipsec security-association replay window-size 256 ! crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile Tunnel_crypt set transform-set SEC crypto pki trustpoint domain1-cert enrollment mode ra enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll usage ike password 7 154C9E2E567D8F727A126C0145514E5129 revocation-check crl
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "isakmp policy"	+/–
Сообщение от zxc (??) on 28-Апр-09, 18:02
Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах. Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты? У вас корпоративная политика такая? Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже ничего не поможет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "isakmp policy"	+/–
	Сообщение от RET (ok) on 28-Апр-09, 18:05
	>Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах. >Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты? >У вас корпоративная политика такая? > >Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже >ничего не поможет. ну вообщем, да - политика партии
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "isakmp policy"	+/–
Сообщение от zigli (ok) on 02-Дек-11, 08:31
>[оверквотинг удален] > crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac > ! > crypto ipsec profile Tunnel_crypt >  set transform-set SEC > crypto pki trustpoint domain1-cert >  enrollment mode ra >  enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll >  usage ike >  password 7 154C9E2E567D8F727A126C0145514E5129 >  revocation-check crl Вроде как перебирать должен все полиси... http://www.cisco.com/en/US/docs/security/pix/pix52/ipsec/con...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема