Jump to content
Калькуляторы

Cisco ASA 5508, IPsec через резервный интернет-канал

Доброго дня.

Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами. 

В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого. 

Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать?

Share this post


Link to post
Share on other sites

для ASA это тривиальный  конфиг

crypto map NAME 1 set peer A1.A2.A3.A4 B1.B2.B3.B4

Share this post


Link to post
Share on other sites

На ASA вижу вот такую строку конфига:

 

crypto map outside_map interface outside

 

А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк.

Edited by Korvet_068

Share this post


Link to post
Share on other sites
34 минуты назад, Korvet_068 сказал:

crypto map outside_map interface outside

это просто прикручивание крипто-мап к нужному интерфейсу. скажем так, указание асе что шифровать.

да и не стоит забывать, что на интерфейс можно повесить только одну крипто-мап. если надо больше, то в существующей крипто-мапе надо увеличивать сиквенс намбер.

 
crypto map outside_map 16 match address outside_16_cryptomap
crypto map outside_map 16 set pfs group14
crypto map outside_map 16 set peer 2.1.4.18
crypto map outside_map 16 set ikev2 ipsec-proposal ESP-AES256-SHA512
crypto map outside_map 16 set security-association lifetime seconds 3600
crypto map outside_map 16 set security-association lifetime kilobytes 4608000
crypto map outside_map 20 match address outside_20_cryptomap
crypto map outside_map 20 set pfs group14
crypto map outside_map 20 set peer 3.6.48.10
crypto map outside_map 20 set ikev2 ipsec-proposal ESP-AES256-SHA512
crypto map outside_map 20 set security-association lifetime seconds 3600
crypto map outside_map 20 set security-association lifetime kilobytes 4608000
 

Share this post


Link to post
Share on other sites

То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк?

Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть.

Share this post


Link to post
Share on other sites

если собираетесь подключаться к одному и тому же удаленному peer, зачем вам еще один крипто-мап?

используйте

crypto map outside_peer interface outside1
crypto map outside_peer interface outside2

crypto isakmp enable outside1
crypto isakmp enable outside2

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this