К основному контенту

Cisco ASA VTI + BGP туннели

Изображение
Автор:

В более менее свежем ПО Cisco ASA появилась возможность строить туннели с динамической маршрутизацией, примерно как на маршрутизаторах, но протокол маршрутизации нужен BGP

Плюсы такой схемы перед Crypto map очевидны - анонсы маршрутов через различные туннели и легкое резервирование.

Итак что нам понадобится, сначала займемся шифрованием, сразу современным то есть aes-gcm

с обоих сторон одинаково добавляем:

crypto ikev2 policy 5
 encryption aes-gcm
 integrity null
 group 14
 prf sha
 lifetime seconds 86400

crypto ipsec ikev2 ipsec-proposal TSET
 protocol esp encryption aes-gcm
 protocol esp integrity null
 
crypto ipsec profile IPSEC_PROFILE
 set ikev2 ipsec-proposal TSET
 set pfs group14

Конечно же нужна туннельная группа, ну и как мы будем аутентифицировать друг друга

tunnel-group yy.yy.yy.yy type ipsec-l2l
tunnel-group yy.yy.yy.yy ipsec-attributes
 ikev2 remote-authentication pre-shared-key <например общим ключом>
 ikev2 local-authentication pre-shared-key <например общим ключом>

Теперь нам нужны нуннельные интерфейсы с каждой стороны.

Источником и назначением будут внешние адреса а адреса туннельных интерфейсов в какой либо подсети.

Пример:

Сторона 1

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.1 255.255.255.252
 tunnel source interface outside
 tunnel destination yy.yy.yy.yy
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE


Сторона 2

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.2 255.255.255.252
 tunnel source interface outside
 tunnel destination xx.xx.xx.xx
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE

Где xx.xx.xx.xx внешний адрес стороны 1

а yy.yy.yy.yy внешний адрес стороны 2

Теперь дело за маршрутизацией.

Нам нужен eBGP то есть на каждую сторону по приватной AS

Пример:

Сторона 1

router bgp 65201
 address-family ipv4 unicast
  neighbor 192.168.225.2 remote-as 65202
  neighbor 192.168.225.2 activate

Сторона 2

router bgp 65202
 address-family ipv4 unicast
  neighbor 192.168.225.1 remote-as 65201
  neighbor 192.168.225.1 activate

После этого  у нас должно заработать соседство по BGP

...... Скоро дополню - нашел черновик и решил опубликовать :-)

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Avaya, переадресация на мобильный, по неответу после 3 звонков.

Автор:
Есть простейшее решение. 1. Через FAC набрать самому 2. Через change station на странице 3, задать номера и активировать их. 3. Через change coverage remote задать там номера, потом change coverage path задать правила перехода. В 1 и последнем случае, нет дурацкого сообщения на экране. Вариант 3: r2 означает, что надо вять номер из таблицы выше (remote). На станции указываем нужный coverage path
5 комментариев
Далее...

Конвертируем точку доступа AIR-LAP1131AG-E-K9 в автономную

Автор:
1. Отключаем Ethernet кабель 2. Зажимаем кнопку (она там одна, справа от кабелей) 3. Подключаем консольный кабель 4. Подключаем AC-DC адаптер Теперь не отпуская кнопки ждем когда на консоли появится примерно следующее: Initializing ethernet port 0... Reset ethernet port 0... Reset done! link auto-negotiating....  auto-negotiation takes 10000 milli-seconds to complete ERROR: timeout waiting for auto-negotiation to complete  ERROR: fail to bring ethernet link up The system has been encountered an error initializing ethernet port. You may need to check hardware The system is ignoring the error and continuing boot. If you interrupt the system boot process, the following commands will reinitialize ethernet, tftp, and finish loading the operating system software:     ether_init     tftp_init     boot button is pressed, wait for button to be released... Тут мы должны отпустить кнопку, и далее увидим button pressed for 55 seconds process_config_recovery: set IP a
6 комментариев
Далее...

Время в логах на Cisco

Автор:
чтобы в логах на Cisco было корректное время, нужно ввести следующую строку service timestamps log datetime localtime Ну и заодно в режиме отладки service timestamps debug datetime localtime
Отправить комментарий
Далее...