Здравствуйте, Мы находимся в процессе настройки топологии HUB-and-SPOKE с использованием IPsec VTI. Маршрутизатор HUB настроен с DVTI, а маршрутизатор SPOKE использует SVTI. Несмотря на наличие IP-соединения между маршрутизаторами,
фаза 1 согласования IPsec завершается сбоем
. Маршрутизатор HUB (ROUTER_HUB) не получает IP-пакеты от маршрутизатора SPOKE (ROUTER_SPOKE).
Мы проанализировали множество документов и руководств и на их основе пришли к выводу, что конфигурация выглядит правильной. Конфигурация и результаты тестирования приведены ниже для справки. Буду очень благодарен за любую помощь, которую вы сможете оказать. EDIT: Я добавил файл с решением для будущего использования. Спасибо за все

]]>https://sla247.ru/forum/topic/2451/проблема-ipsec-dvti-svtiRSS for NodeThu, 14 May 2026 19:29:08 GMTMon, 02 Mar 2026 12:44:26 GMT60@Soma-II
вам нужен «tunnel vrf VRF_555» на виртуальном шаблоне концентратора, так как его интерфейс, обращенный к спице, находится в VRF_555. interface Virtual-Template555 type tunnel
tunnel vrf VRF_555

]]>https://sla247.ru/forum/post/17182https://sla247.ru/forum/post/17182Mon, 02 Mar 2026 12:44:40 GMTЯ только что изменил файл
Config_IPSec
, добавив дополнительные настройки интерфейса. Да, команда ip vrf forwarding VRF_555 включена — вы можете проверить это в конфигурации. Извините, я полагал, что теста ping было достаточно.

]]>https://sla247.ru/forum/post/17181https://sla247.ru/forum/post/17181Mon, 02 Mar 2026 12:44:39 GMTИсточник туннеля настроен с vrf или без него? Этот интерфейс настроен с поддержкой VRF? tunnel source GigabitEthernet0/0/2.555 MHM

]]>https://sla247.ru/forum/post/17180https://sla247.ru/forum/post/17180Mon, 02 Mar 2026 12:44:38 GMTЗдравствуйте! Я увидел эту конфигурацию
в Интернете
, и она мне показалась логичной, поэтому я добавил ее в Virtual-Template. Я только что удалил ее, спасибо за разъяснение. Что касается этого VRF, то весь трафик находится под этим VRF. Этот туннель «путешествует» по сети MPLS. Не знаю, полезна ли вам эта информация.

]]>https://sla247.ru/forum/post/17179https://sla247.ru/forum/post/17179Mon, 02 Mar 2026 12:44:37 GMTЯ не знаю, какой vrf-555 вы используете: vrf источника туннеля или vrf самого туннеля? Прошу уточнить этот момент. Я вижу ошибку в том, что вы используете Tunnel destination dynamic <<- в виртуальном шаблоне, что неправильно. Удалите его. MHM

]]>https://sla247.ru/forum/post/17178https://sla247.ru/forum/post/17178Mon, 02 Mar 2026 12:44:36 GMT@Soma-II,
поскольку внешний интерфейс явно настроен в VRF_555, вы должны настроить «tunnel vrf VRF_555» на интерфейсе tunnel/virtual-template. В вашей обновленной конфигурации выше, похоже, это не настроено под VT на концентраторе. В каком VRF находится ваш внутренний/LAN-интерфейс? VRF_555 или глобальная таблица маршрутизации?

]]>https://sla247.ru/forum/post/17177https://sla247.ru/forum/post/17177Mon, 02 Mar 2026 12:44:35 GMTЯ изменил файл
Config_IPSec,
чтобы уточнить конфигурацию — извините за ранее возникшую путаницу. Трафик должен быть в VRF_555. Судя по приложенной мной информации, необходимо только добавить ip vrf forwarding VRF_555 на интерфейсе туннеля/VTI. Однако ранее я применил эту конфигурацию на маршрутизаторе Spoke, и она не сработала, поэтому я думаю, что была бы полезна более подробная информация, например, о такой же конфигурации VRF для DVTI и SVTI? Приношу извинения, но это немного сбивает с толку.

]]>https://sla247.ru/forum/post/17176https://sla247.ru/forum/post/17176Mon, 02 Mar 2026 12:44:34 GMT@Soma-II
— это интерфейс, обращенный к одноранговому узлу, в VRF_555 или в глобальной таблице маршрутизации? Или внутренние интерфейсы находятся в VRF_555 или в глобальной таблице маршрутизации? Пожалуйста, предоставьте конфигурацию интерфейса, это прояснит ситуацию. Если интерфейс, обращенный к одноранговому узлу, находится в VRF_555, это называется FVRF, и вам потребуется конфигурация VRF, примененная выше.

]]>https://sla247.ru/forum/post/17175https://sla247.ru/forum/post/17175Mon, 02 Mar 2026 12:44:33 GMTПрежде всего, спасибо за ваш ответ. Я ознакомился с вашим документом, но, к сожалению, он не был для меня достаточно понятен. Однако я ознакомился со следующими ресурсами: https://grumpy-networkers-journal.readthedocs.io/en/latest/VENDOR/CISCO/VPN/CISCO_IKEV1/IOS_IKEV1_DYNAMIC_VTI.html
https://networkengineering.stackexchange.com/questions/51459/cisco-vrf-aware-dynamic-vti-based-ipsec-vpn?newreg=bf2d1558254a4f5c9a55d810e561bf96
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_vpnips/configuration/xe-3s/sec-sec-for-vpns-w-ipsec-xe-3s-book/sec-ipsec-virt-tunnl.pdf
https://elhacker.info/manuales/Redes/Cisco/Security/Harris%20Andrea%20-%20Cisco%20VPN.pdf Эти источники являются частью того, что вызвало некоторую путаницу. Я бы очень хотел следовать вашей рекомендации, но поскольку я использую DVTI на HUB и SVTI на SPOKE,
мне все еще не ясно, где именно должны быть настроены параметры VRF
.

]]>https://sla247.ru/forum/post/17174https://sla247.ru/forum/post/17174Mon, 02 Mar 2026 12:44:32 GMT@Soma-II
обратитесь к этому руководству, раздел «2.5 Перенос только маршрутизатора A в VTI – с поддержкой VRF» -
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-ipsec/white-paper-c11-744879.html#2IPsecvirtualtunnelinterfacemigrationinpractice ...в этом примере упоминается конкретная конфигурация, в которой необходимо указать FVRF. Ваша внутренняя сеть также находится в VRF_555 или в глобальной таблице маршрутизации? Если в глобальной таблице маршрутизации, вам не нужно «ip vrf forwarding VRF_555» под интерфейсом туннеля.

]]>https://sla247.ru/forum/post/17173https://sla247.ru/forum/post/17173Mon, 02 Mar 2026 12:44:31 GMTЭто действительно интересно, Роб — я не знал, что такие опции доступны. Согласно некоторым источникам (например,
этому
), VRF требуется только на интерфейсе ISAKMP или Tunnel (включая VTI). В любом случае, я применил конфигурацию, как вы предложили ранее, но мне кажется, что чего-то все еще не хватает. Не могли бы вы поделиться какой-нибудь документацией или ссылками, которые я мог бы проверить?
Кстати, я снова изменил файл
. Большое спасибо за вашу помощь.

]]>https://sla247.ru/forum/post/17172https://sla247.ru/forum/post/17172Mon, 02 Mar 2026 12:44:30 GMTЗдравствуйте, Роб, Да, мы уже внесли изменения. Ты уже успел просмотреть файл конфигурации? VRF правильно привязан к интерфейсам. Спасибо.

]]>https://sla247.ru/forum/post/17171https://sla247.ru/forum/post/17171Mon, 02 Mar 2026 12:44:29 GMT@Soma-II
Если маршрутизатор-аналог доступен через VRF_555, необходимо настроить ключевой набор, идентификатор isakmp и интерфейс туннеля для соответствия VRF_555.

]]>https://sla247.ru/forum/post/17170https://sla247.ru/forum/post/17170Mon, 02 Mar 2026 12:44:28 GMTПривет
[, @Soma-II,]
при использовании VRF_555 в качестве FVRF, где достигается одноранговый узел, я имел в виду следующую конфигурацию: crypto keyring IPSec_key-ring_SPOKE_ROUTER_HUB
vrf VRF_555
pre-shared-key address 172.21.55.70 key CLAVE123
crypto isakmp profile Isakmp-profile_SPOKE_ROUTER_HUB
match identity address 172.21.55.70
VRF_555
interface Tunnel555
tunnel vrf VRF_555

]]>https://sla247.ru/forum/post/17169https://sla247.ru/forum/post/17169Mon, 02 Mar 2026 12:44:27 GMT