Cisco my love

Posted: October 30, 2009 in technical
Tags: , ,

Sa va spun o poveste. Frumoasa.

Era odata un NetScreen. Ca orice NetScreen cumintel si dragalas, acest NetScreen accepta, pe o interfata fizica, o caruta de configuratii de IPsec, care mai de care mai sucite, dupa cum imi veneau mie in cap. Si asa eu il iubeam pe NetScreen.

Din pacate, NetScreen-ul nu stie sa faca un alt config sucit de-ale mele, si anume cel de Multiple Phase 2 over Phase 1. Si, la indemnul binevoitor al colegilor, ma apuc eu cu drag si spor sa fac configul asta pe un Cisco 6500 SPA, care se pare ca se intelege mai bine cu ideea de MP2oP1.

Numai ca, in 6500 mai aveam un config de Remote-Access pe interfata de VLAN care-mi arunca pachetele  mele de IPsec in engine-ul care se ocupa cu criptarea/decriptarea hardware. Si de asta se ocupa un profile de remote-access existent asociat unui crypto map. Toate bune si frumoase: fac eu un nou profile, care sa povesteasca routerashului cum sta treaba cu acel MP2oP1. Si creez si o noua cripto-mapa, ca, deh, nu pot baga mai  mult profile in acelasi crypto-map. Dar, Stupoare! (sic!): pe o aceeasi interfata de VLAN nu pot pune mai multe crypto-mape, ca, deh, asa zice Cisco, in felul lui mirobolant.

Asa se face ca acum Cristina are o dilema: sa scot tot configul de NetScreen si sa-l adaptez intr-o maniera foarte muncitoreasca la MP2oP1, sau sa raman pe Cisco? Iar daca raman pe Cisco, sa pastrez crypto-map-ul de remote-access sau pe cel de MP2oP1. Am uitat sa mentionez ca TOATE astea in trebuie in ACELASI TIMP. Adica si NetScreen-ul cu configul lui, si Cisco-ul cu ce le 2 confige care se resping reciproc.

Varianta ideala: Sa stie si crap-ul mergator de Cisco sa identifice intern “mapele” de IPsec, sa nu ii mai dai ca la copiii mici cu lingurita mapa pe interfata. Ca poate are nevoie omul de mai multe chestii in paralel de la ditai engine-ul de criptare hardware. Si cum engine-ul vrea numa’ o interfata de vlan…si cum numai un crypto-map poate fi aplicat pe o interfata…you do the math. I am stuck with a very powerful engine, pentru ca boii de la Cisco sunt incapabili sa faca un config inteligent de IPsec.

Advertisements
Comments
  1. Dany says:

    Autobiografie: A fost odata un copilas care neavand alte jucarii decat un ecran de CMD…a tastat IPCONFIG /all (ca asa auzise la stiri)…si de atunci a devenit “Dah uandar chid”. The end. (Extras din discursul de acceptare a premiului Nobel ptr “Primul limbaj masina masina” by cristina_crow…ale carei prime cuvinte la nastere au fost …nu, nu “uah”, ci “ping ping”)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s