Навигация

CISCO ASA VPN настройка

Рассмотрим кусочек конфига CISCO ASA 5540 для VPN

Адрес 1.1.1.2 выдуманный внешний адрес первой asa
Адрес 2.2.2.2 выдуманный внешний адрес второй asa
Сеть 192.168.10.0 локалка
Сети 10.10.20.0 и 10.10.10.0 за второй асой

Сетевые интерфейсы:
interface GigabitEthernet0/0
nameif WAN01
security-level 0
ip address 1.1.1.2 255.255.255.252

interface GigabitEthernet0/1
nameif VLAN-USER
security-level 50
ip address 192.168.1.1 255.255.255.0

Описаны сети:
object network OBJ-SUBNET-VLAN-USER
subnet 192.168.10.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-DEVEL
subnet 10.10.20.0 255.255.255.0

object network OBJ-SUBNET-DPC1-VLAN-SR
subnet 10.10.10.0 255.255.255.0

object-group network GRP-NETWORK-DPC1
network-object object OBJ-SUBNET-DPC1-VLAN-DEVEL
network-object object OBJ-SUBNET-DPC1-VLAN-SR

Добавлены в списки доступа (рназрешено прохождение трафика):
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL extended permit ip object BJ-SUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-DEVEL
access-list ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR extended permit ip object OBJSUBNET-VLAN-USER object OBJ-SUBNET-DPC1-VLAN-SR

Политики шифрования и аутентификации:
crypto ikev1 policy 1000
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1100
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

crypto ikev1 policy 1200
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400

Задаем ключ вместо "*****":
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 pre-shared-key *****

Методы аутентификации и шифрования:
crypto ipsec ikev1 transform-set CRYPTO-TSET-ESP-SHA esp-aes esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite

Опишем пиров:
crypto map CRYPTO-MAP-WAN01 1000 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-DEVEL
crypto map CRYPTO-MAP-WAN01 1000 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1000 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1000 set reverse-route

crypto map CRYPTO-MAP-WAN01 1010 match address ACL-CRYPTO-CO3-VLAN-USER-DPC1-VLAN-SR
crypto map CRYPTO-MAP-WAN01 1010 set peer 2.2.2.2
crypto map CRYPTO-MAP-WAN01 1010 set ikev1 transform-set CRYPTO-TSET-ESP-SHA
crypto map CRYPTO-MAP-WAN01 1010 set reverse-route

Применяем к интерфейсу:
crypto map CRYPTO-MAP-WAN01 interface WAN01
crypto ikev1 enable WAN01

Мне понадобилось еще правило ната:
nat (VLAN-USER,WAN01) after-auto source static OBJ-SUBNET-VLAN-USER OBJ-SUBNET-VLAN-USER destination static GRP-NETWORK-DPC1 GRP-NETWORK-DPC1 no-proxy-arp route-lookup

Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий

Анонимам нельзя оставоять комментарии, зарегистрируйтесь!

Главная	⇒ Статьи по тематикам ⇐	Карта сайта	Контакты
Учебники по IT	IP-Калькулятор	NSLOOKUP	Видео IT
Баллистический калькулятор: тип 1 и тип 2 Калькулятор поправок в MOA Баллистический коэффициент пневматики		Файлы NSLOOKUP IP-Калькулятор

Контакты Группа ВК	Код обмена баннерами		Видео к IT статьям на YoutubeВидео на другие темы Смотреть
Мои друзья:			© Snakeproject.ru создан в 2013 году. При копировании материала с сайта - оставьте ссылку. Весь материал на сайте носит ознакомительный характер, за его использование другими людьми, автор ответственности не несет.
		Поддержать автора и проект