четверг, 6 октября 2011 г.

SSLVPN-клиент на телефонах Cisco

Задача: пробросить SCCP-телефон Cisco поверх общественной сети на удаленный ротуер с CUCME через зашифрованный SSL-туннель.
На данный момент заявлена поддержка SSLVPN клиента у телефонов: 7942/7962/7945/7965/7975/8961/9951/9971 с версией прошивки не ниже 9.0(2)SR1S.
Версия CUCME: не ниже 8.6 (сверямся с документом).

среда, 16 марта 2011 г.

SSL VPN на IOS (Clientless + FullTunnel)

Задача: организовать безопасный доступ к ограниченному количеству ресурсов корпоративной сети извне без установки дополнительного клиента. Для полного доступа к ресурсам - предоставить возможность создания туннеля клентом, дистрибуцию которого организовать через то же бесклиентское подключение.
Схемка:

четверг, 3 февраля 2011 г.

Бридж на туннельный интерфейс

Создадим интерфейс, с которого начинается туннель:
interface Loopback1
 ip address 192.168.150.1 255.255.255.255
Включим бриджевание:
bridge irb
bridge 1 protocol ieee
Создадим туннель и прицепим его к бридж-группе (будет ругаться, что команды "bridge-group ..." не поддерживаются на данном типе интерфейса - не обращаем внимание):
interface Tunnel1
 no ip address
 tunnel source Loopback1
 tunnel destination 192.168.150.2
 bridge-group 1
 bridge-group 1 spanning-disabled
Интерфейс, пакеты с которого будем запихивать в туннель:
interface FastEthernet0/0.1
 encapsulation dot1Q 10
 bridge-group 1
Не забываем про маршрутизацию до другого конца туннеля (192.168.150.2) любым из возможных способов (статика в данном случае):
interface FastEthernet0/1
 ip address 192.168.102.1 255.255.255.252
ip route 192.168.150.2 255.255.255.255 192.168.102.2
На другом конце зеркалируем конфигурацию.

Получаем проброс влана 10, приходящего в транке на интерфейс Fa0/0, через GRE-туннель.
Проверялось на 2651XM и 2691 с adventerprise каких-то мохнатых версий.
Основные траблы, что могут возникнуть: дропы пакетов с DF=1 и повышение нагрузки при фрагментации и обратной сборке больших пакетов.
Другой способ сделать почти то же самое - PPTP.