Приветствую, друг! Заметка на тему изучения чего-либо. Для опытных коллег такая вещь как IPSec - проста и очевидна. Для меня же это вылилось в целый квест, который я откладывал несколько лет подряд. Что было не самым мудрым решением.

Опытные коллеги, тут нет ничего интересного для Вас, простите, не дорос до полезных статей. Stay tuned, как грится.

Зайду чуть издалека, для понимания корня проблемы. Перед тем как сдать CCNA, я пошел на официальные курсы CCNAv7 к одному из партнеров Cisco. Получить диплом о профпереподготовке и ваучер на экзамен звучало неплохо.

В треке курса, кроме основных тем CCNA, был включен трек Security, который я, каюсь, не проработал от слова “совсем”.

Основой трека Security была ASA и IPsec + лаба на site to site VPN. Что любопытно, лаба выглядела просто, конфиги уже были даны. Накопировал и готово! Работает! А зачем, как работает и почему…отдали на самостоятельное изучение. Именно тогда я остался наедине с монстром IPSec и впервые отложил его в долгий ящик. Сложно, непонятно, да и зачем оно? Я же сетевик, а это безопасность!

За год я еще пару раз вовзращался к этой теме, но постоянно откладывал.

Вопрос встал ребром, когда я пришел в интегратор, IPSec ждал меня с рапростертыми объятиями. Во первых, несколько филиалов интегратора в разных городах - а это VPN туннели с IPSec. Во вторых, клиент с проблемами в DMVPN.

Мало того, что я не понимал как организованы туннели, я в принципе не понимал что происходит.

Последней точкой стал кейс от клиента, со схемой DMVPN dual hub, dual cloud, в которой не работало одно из облак DMVPN и мне предстояло с этим разобраться.

Варианта откладывать больше не было, принялся изучать DMVPN на пару с IPSec. Тема IPSec затрагивается в ENCOR (Part V: Overlay), поделюсь тем, что уже собрал и буду докидывать по ходу.

Материалы по IPSec и DMVPN лежат на моем ЯД в папке Part V: Overlay.
Решил создавать отдельную папку на каждую из глав книги, чтобы было проще ориентироваться в ворохе уже существующих материалов.

Конкретно по IPSec, сейчас досматриваю плейлист по IPSec - при всей сумбурности и оговорках автора - это наиболее полный материал в таком формате.

Параллельно собрал лабу DMVPN из нескольких филиалов клиента в PNETLab, что помогло найти корень проблемы и решить кейс.

Если коротко, причина была в одном из провайдеров на площадке с хабами. Статус одного из облкаов значился как “IKE”, что говорило, как минимум, о проблемах с шифровением, но все оказалось проще.

Для построения оверлея необходима IP связность до хаба. Именно эта проблема и была обнаружена, спок не мог достучаться до внешнего IP хаба, значначенного на второе DMVPN облако. Собранная схема в лабе (с текущими конфигами) отлично отработала на оба DMVPN облака. Далее все просто, обратились к провайдеру и второе облако поднялось после тех.работ у провайдера.

От открытия заявки, до ее решения, я потратил ~3 рабочих дня (до 02:00) ночи, изучая конфиги, теорию IPSec, DMVPN, вспоминал NAT в VRF-ах, сами VRF-ы и еще много чего по мелочи. А мог бы этого избежать, если бы не боялся взяться за более сложные темы, даже после того как сдал CCNA.

Вывод прост - берите сложные для вас темы и потихоньку ковыряйте. Соберите простенькую лабу, прочитайте кусочек документации по технологии, разберитесь что он описывает и попробуйте применить в лабе. Шаг за шагом вы обязательно разберетесь, хотя на старте так казаться точно не будет.

Хочешь обсудить тему?

С вопросами, комментариями и/или замечаниями, приходи в чат или подписывайся на канал.