Маршрутизатор Cisco с VRF и IPSEC L2L, особенность

Имеется маршрутизатор, внешний интерфейс которого находится в определенном VRF, для примера назовем его WAN

interface GigabitEthernet0/3.400
encapsulation dot1Q 400
vrf forwarding WAN
ip address x.x.x.x

Понадобилось построить L2L IPSEC до этого маршрутизатора. Все настройки приводить не буду, опишу только на что нужно обратить внимание.

Создал полиси:

crypto isakmp policy 2
encr aes 256
authentication pre-share
group 2

Прописал ключ как обычно:

crypto isakmp key ipseckey address xxx.xxx.xxx.xxx no-xauth

Но первая фаза не поднимается, в логах сообщения вида key not found (точно не вспомню, но суть такая)

Как так? Ведь ключ прописан. Оказалось что всё из за VRF, надо создавать keyring и isakmp profile чтобы IPSEC поднимался внутри него:

crypto keyring KEYRING vrf WAN
pre-shared-key address x.x.x.x key yourkey

crypto isakmp profile FOR-WAN-VRF
keyring KEYRING
match identity address x.x.x.x. 255.255.255.255 WAN

В IPSEC профиле надо прикрепить профиль isakmp:

crypto ipsec profile IPSEC
set transform-set IPSEC
set pfs group2
set isakmp-profile FOR-WAN-VRF

 

0

Добавить комментарий

Ваш e-mail не будет опубликован.