Cisco ASA VTI + BGP туннели

-

В более менее свежем ПО Cisco ASA появилась возможность строить туннели с динамической маршрутизацией, примерно как на маршрутизаторах, но протокол маршрутизации нужен BGP

Плюсы такой схемы перед Crypto map очевидны - анонсы маршрутов через различные туннели и легкое резервирование.

Итак что нам понадобится, сначала займемся шифрованием, сразу современным то есть aes-gcm

с обоих сторон одинаково добавляем:

crypto ikev2 policy 5
 encryption aes-gcm
 integrity null
 group 14
 prf sha
 lifetime seconds 86400

crypto ipsec ikev2 ipsec-proposal TSET
 protocol esp encryption aes-gcm
 protocol esp integrity null
 
crypto ipsec profile IPSEC_PROFILE
 set ikev2 ipsec-proposal TSET
 set pfs group14

Конечно же нужна туннельная группа, ну и как мы будем аутентифицировать друг друга

tunnel-group yy.yy.yy.yy type ipsec-l2l
tunnel-group yy.yy.yy.yy ipsec-attributes
 ikev2 remote-authentication pre-shared-key <например общим ключом>
 ikev2 local-authentication pre-shared-key <например общим ключом>

Теперь нам нужны нуннельные интерфейсы с каждой стороны.

Источником и назначением будут внешние адреса а адреса туннельных интерфейсов в какой либо подсети.

Пример:

Сторона 1

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.1 255.255.255.252
 tunnel source interface outside
 tunnel destination yy.yy.yy.yy
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE


Сторона 2

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.2 255.255.255.252
 tunnel source interface outside
 tunnel destination xx.xx.xx.xx
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE

Где xx.xx.xx.xx внешний адрес стороны 1

а yy.yy.yy.yy внешний адрес стороны 2

Теперь дело за маршрутизацией.

Нам нужен eBGP то есть на каждую сторону по приватной AS

Пример:

Сторона 1

router bgp 65201
 address-family ipv4 unicast
  neighbor 192.168.225.2 remote-as 65202
  neighbor 192.168.225.2 activate

Сторона 2

router bgp 65202
 address-family ipv4 unicast
  neighbor 192.168.225.1 remote-as 65201
  neighbor 192.168.225.1 activate

После этого  у нас должно заработать соседство по BGP

...... Скоро дополню - нашел черновик и решил опубликовать :-)

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...