Cisco ASA VTI + BGP туннели

В более менее свежем ПО Cisco ASA появилась возможность строить туннели с динамической маршрутизацией, примерно как на маршрутизаторах, но протокол маршрутизации нужен BGP

Плюсы такой схемы перед Crypto map очевидны - анонсы маршрутов через различные туннели и легкое резервирование.

Итак что нам понадобится, сначала займемся шифрованием, сразу современным то есть aes-gcm

с обоих сторон одинаково добавляем:

crypto ikev2 policy 5
 encryption aes-gcm
 integrity null
 group 14
 prf sha
 lifetime seconds 86400

crypto ipsec ikev2 ipsec-proposal TSET
 protocol esp encryption aes-gcm
 protocol esp integrity null
 
crypto ipsec profile IPSEC_PROFILE
 set ikev2 ipsec-proposal TSET
 set pfs group14

Конечно же нужна туннельная группа, ну и как мы будем аутентифицировать друг друга

tunnel-group yy.yy.yy.yy type ipsec-l2l
tunnel-group yy.yy.yy.yy ipsec-attributes
 ikev2 remote-authentication pre-shared-key <например общим ключом>
 ikev2 local-authentication pre-shared-key <например общим ключом>

Теперь нам нужны нуннельные интерфейсы с каждой стороны.

Источником и назначением будут внешние адреса а адреса туннельных интерфейсов в какой либо подсети.

Пример:

Сторона 1

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.1 255.255.255.252
 tunnel source interface outside
 tunnel destination yy.yy.yy.yy
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE


Сторона 2

interface Tunnel1
 nameif Experemental1
 ip address 192.168.225.2 255.255.255.252
 tunnel source interface outside
 tunnel destination xx.xx.xx.xx
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE

Где xx.xx.xx.xx внешний адрес стороны 1

а yy.yy.yy.yy внешний адрес стороны 2

Теперь дело за маршрутизацией.

Нам нужен eBGP то есть на каждую сторону по приватной AS

Пример:

Сторона 1

router bgp 65201
 address-family ipv4 unicast
  neighbor 192.168.225.2 remote-as 65202
  neighbor 192.168.225.2 activate

Сторона 2

router bgp 65202
 address-family ipv4 unicast
  neighbor 192.168.225.1 remote-as 65201
  neighbor 192.168.225.1 activate

После этого  у нас должно заработать соседство по BGP

...... Скоро дополню - нашел черновик и решил опубликовать :-)

Комментарии

Популярные сообщения