Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE)
Материал из Xgu.ru
- Короткий URL: Cisco_ASA/OSPF_IPSec
- Автор: Наташа Самойленко
Как правило, сообщениями протокола OSPF маршрутизаторы обмениваются, используя многоадресную пересылку (multicast). Между удалёнными друг от друга сетями multicast-трафик передаётся поверх GRE-туннелей.
Cisco ASA не поддерживает GRE-туннели. Однако, начиная с версии ОС 7.x, Cisco ASA и Cisco PIX позволяют передавать сообщения OSPF unicast'ом через существующее VPN-соединение, без использования протокола GRE.
Пока что такая возможность есть только для протокола OSPF.
На этой странице описывается пример настройки туннеля IPSec между двумя Cisco ASA и передача трафика OSPF между внутренними сетями, которые находятся за ASA'ми.
Содержание |
[править] Задача
Показаны настройки для коммутатора sw1 и ASA1, для коммутатора sw2 и ASA2 всё выполняется аналогично. Конфигурационные файлы всех устройств в конце страницы.
В тексте те настройки, которые позволяют передавать OSPF через IPSec, выделены жирным шрифтом.
[править] Базовые настройки
[править] Базовые настройки коммутаторов
На коммутаторах создан loopback-интерфейс, для того чтобы проверить, что маршруты и Офиса 1 будут видны в Офисе 2 и показать как настроить access-list для IPSec и исключения из трансляции:
sw1(config)# interface Loopback0 sw1(config-if)# ip address 10.1.1.1 255.255.255.0
В VLAN 1 задан адрес (все порты коммутатора в VLAN 1):
sw1(config)# interface vlan 1 sw1(config-if)# ip address 10.1.2.2 255.255.255.0
Маршрут по умолчанию для коммутаторов — внутренний интерфейс ASA:
sw1(config)# ip route 0.0.0.0 0.0.0.0 10.1.2.1
[править] Базовые настройки ASA
Интерфейс g 0/0 настроен как outside интерфейс и по умолчанию этому имени интерфейса соответствует уровень безопасности 0:
asa1(config)# interface GigabitEthernet0/0 asa1(config-if)# nameif outside asa1(config-if)# ip address 192.168.1.1 255.255.255.0
Интерфейс g 0/1 настроен как inside интерфейс и по умолчанию этому имени интерфейса соответствует уровень безопасности 100:
asa1(config)# interface GigabitEthernet0/1 asa1(config-if)# nameif inside asa1(config-if)# ip address 10.1.2.1 255.255.255.0
Маршрут по умолчанию:
asa1(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
|
|
В документации Cisco рекомендуют прописывать статический маршрут к соседу OSPF (который доступен через туннель), для того чтобы избежать петель когда OSPF работает через IPsec. Однако такие проблемы проявляются не всегда. В данной топологии всё работает и без этого маршрута, однако в более сложных сетях такая проблема может проявиться. Статический маршрут к ASA2: asa1(config)# route outside 192.168.2.1 255.255.255.255 192.168.1.2 1 |
[править] Настройка трансляции адресов
На ASA настроена трансляция адресов для всей сети офиса:
asa1(config)# nat (inside) 1 10.1.0.0 255.255.0.0
Соответствующее правило global указывает, что вся сеть будет транслироваться в адрес интерфейса outside:
asa1(config)# global (outside) 1 interface
[править] Исключение из трансляции адресов
Для того чтобы в пакетах, которые идут через VPN не транслировались адреса, настраивается исключение из правила трансляции — NAT Exemption.
У правила NAT Exemption приоритет по сравнению с настройкой PAT. Поэтому в пакетах, которые будут идти в локальную сеть Офиса 2, адреса не будут транслироваться, а в пакетах идущих в другие сети (Интернет) адреса будут транслироваться.
Access-list nat_0 указывает какие пакеты исключить из правил трансляции адресов (если пакет идет из Офиса 1 в Офис 2):
asa1(config)# access-list nat_0 extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0
Настройка правила исключения из трансляции:
asa1(config)# nat (inside) 0 access-list nat_0
[править] Настройка OSPF
[править] Настройка OSPF на коммутаторах
На коммутаторах включен ip routing:
sw1(config)# ip routing
OSPF включен для двух сетей (VLAN 1 и loopback):
sw1(config)# router ospf 1 sw1(config-router)# network 10.1.1.0 0.0.0.255 area 0 sw1(config-router)# network 10.1.2.0 0.0.0.255 area 0
Можно указать суммарную сеть, если OSPF должен быть включен для всех сетей в Офис 1:
sw1(config)# router ospf 1 sw1(config-router)# network 10.1.0.0 0.0.255.255 area 0
[править] Настройка OSPF на ASA
На внешнем интерфейсе (интерфейс на котором строится VPN-туннель) должен быть указан тип сети point-to-point non-broadcast:
asa1(config)# interface GigabitEthernet0/0 asa1(config-if)# ospf network point-to-point non-broadcast
Такая настройка позволяет отправлять пакеты OSPF unicast'ом, непосредственно соседу, который будет указан ниже.
|
|
Когда интерфейс настроен как point-to-point, на нем не может быть более одного соседа. Поэтому эта схема может использоваться только для связи двух точек. При попытке добавить ещё одного соседа на том же интерфейсе, ASA выдаст ошибку: asa1(config-router)# neighbor 192.168.2.2 interface outside ERROR: Only one neighbor allowed on point-to-point interfaces |
OSPF должен быть включен для локальной сети и внешней сети:
asa1(config)# router ospf 1 asa1(config-router)# network 10.1.2.0 255.255.255.0 area 0 asa1(config-router)# network 192.168.1.0 255.255.255.0 area 0
Сеть внешнего интерфейса указывается для того, чтобы на этом интерфейсе был включен OSPF. Иначе, при указании соседа, будет такое сообщение об ошибке:
asa1(config-router)# neighbor 192.168.2.1 interface outside INFO: Neighbor command will take effect only after OSPF is enabled and network-type is configured on the interface
Указание соседа, которому OSPF-пакеты будут отправляться unicast:
asa1(config-router)# neighbor 192.168.2.1 interface outside
Параметры команды neighbor:
- 192.168.2.1 — IP-адрес соседа OSPF,
- interface outside — интерфейс, который используется для взаимодействия с соседом. Если сосед OSPF находится не в той же сети, что и любой из непосредственно присоединенных интерфейсов, то параметр interface указывать обязательно.
|
|
В документации Cisco указано, что OSPF должен быть включен для внешней сети соседа. Однако, в данной топологии все маршруты корректно передаются и без указания этой сети. Возможно, это может проявиться в более сложных топологиях. Тогда надо будет попробовать задать маршрут для внешней сети соседа: asa1(config-router)# network 192.168.2.0 255.255.255.0 area 0 |
[править] Настройка IPSec на ASA
- Настройка ISAKMP
- Включить ISAKMP
- Создать ISAKMP Policy
- Создать туннельную группу
- Настроить правило NAT 0 (настроено выше)
- Crypto map
- Создать transform set
- Создать ACL (указать какой трафик шифровать)
- Настройка crypto map
- Применить crypto map
[править] Настройка ISAKMP
Включение ISAKMP:
asa1(config)# crypto isakmp enable outside
Настройка ISAKMP identity. Будет использоваться IP-адрес интерфейса, который используется для коммуникаций с удаленной стороной во время работы IKE:
asa1(config)# crypto isakmp identity address
Настройка политики ISAKMP:
asa1(config)# crypto isakmp policy 10 asa1(config-isakmp-policy)# authentication pre-share asa1(config-isakmp-policy)# encryption des asa1(config-isakmp-policy)# hash md5 asa1(config-isakmp-policy)# group 2
[править] Туннельная группа
Создание туннельной группы:
asa1(config)# tunnel-group 192.168.2.1 type ipsec-l2l asa1(config)# tunnel-group 192.168.2.1 ipsec-attributes asa1(config-tunnel-ipsec)# pre-shared-key xguru
[править] Crypto map
Создание transform set trset:
asa1(config)# crypto ipsec transform-set trset esp-des esp-sha-hmac
ACL, который указывает какой трафик шифровать (на ASA2 должен быть настроен зеркальный ACL):
asa1(config)# access-list ipsec extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0
В этот же ACL необходимо добавить строку, которая указывает, что пакеты OSPF, идущие с outside интерфейса к соседу 192.168.2.1, надо шифровать:
asa1(config)# access-list ipsec extended permit ospf interface outside host 192.168.2.1
Настройка crypto map:
asa1(config)# crypto map outmap 10 match address ipsec asa1(config)# crypto map outmap 10 set peer 192.168.2.1 asa1(config)# crypto map outmap 10 set transform-set trset asa1(config)# crypto map outmap interface outside
Применение crypto map outmap на интерфейсе outside:
asa1(config)# crypto map outmap interface outside
[править] Проверка доступности сетей
Проверка доступности сетей офиса 2 с коммутатора sw1:
sw1#ping 10.2.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms sw1#ping 10.2.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
[править] Проверка работы IPsec
Информация об ISAKMP SA на ASA1:
asa1(config)# show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 192.168.2.1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
Информация об ISAKMP SA на ASA2:
asa2(config)# show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 192.168.1.1
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Более подробная информация об ISAKMP SA (алгоритм шифрования, время жизни и др.):
asa1(config)# show crypto isakmp sa detail
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 192.168.2.1
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
Encrypt : des Hash : MD5
Auth : preshared Lifetime: 86400
Lifetime Remaining: 82505
Суммарная информация об установленных IPsec SA:
asa1(config)# show crypto ipsec sa summary Current IPSec SA's: Peak IPSec SA's: IPSec : 2 Peak Concurrent SA : 6 IPSec over UDP : 0 Peak Concurrent L2L : 6 IPSec over NAT-T : 0 Peak Concurrent RA : 0 IPSec over TCP : 0 IPSec VPN LB : 0 Total : 2
Более подробная информация об установленных IPsec SA:
asa1(config)# show crypto ipsec sa
interface: outside
Crypto map tag: outmap, seq num: 10, local addr: 192.168.1.1
access-list ipsec permit ospf interface outside host 192.168.2.1
local ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/89/0)
remote ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/89/0)
current_peer: 192.168.2.1
#pkts encaps: 426, #pkts encrypt: 426, #pkts digest: 426
#pkts decaps: 425, #pkts decrypt: 425, #pkts verify: 425
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 426, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.2.1
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: B0168189
inbound esp sas:
spi: 0x31D34B4D (835930957)
transform: esp-des esp-sha-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 36864, crypto-map: outmap
sa timing: remaining key lifetime (kB/sec): (3824971/24706)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0xB0168189 (2954264969)
transform: esp-des esp-sha-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 36864, crypto-map: outmap
sa timing: remaining key lifetime (kB/sec): (3824971/24706)
IV size: 8 bytes
replay detection support: Y
[править] Проверка работы OSPF
Таблица маршрутизации на коммутаторе sw1:
sw1#show ip route
Gateway of last resort is 10.1.2.1 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O 10.2.1.1/32 [110/22] via 10.1.2.1, 01:10:59, Vlan1
C 10.1.2.0/24 is directly connected, Vlan1
O 10.2.2.0/24 [110/21] via 10.1.2.1, 01:10:59, Vlan1
C 10.1.1.0/24 is directly connected, Loopback0
O 192.168.1.0/24 [110/11] via 10.1.2.1, 01:10:59, Vlan1
O 192.168.2.0/24 [110/21] via 10.1.2.1, 01:10:59, Vlan1
S* 0.0.0.0/0 [1/0] via 10.1.2.1
Таблица маршрутизации на коммутаторе sw2:
sw2#show ip route
Gateway of last resort is 10.2.2.1 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.2.1.0/24 is directly connected, Loopback0
O 10.1.2.0/24 [110/21] via 10.2.2.1, 01:11:34, Vlan1
C 10.2.2.0/24 is directly connected, Vlan1
O 10.1.1.1/32 [110/22] via 10.2.2.1, 01:11:34, Vlan1
O 192.168.1.0/24 [110/21] via 10.2.2.1, 01:11:34, Vlan1
O 192.168.2.0/24 [110/11] via 10.2.2.1, 01:11:34, Vlan1
S* 0.0.0.0/0 [1/0] via 10.2.2.1
Таблица маршрутизации на ASA1:
asa1(config)# show route Gateway of last resort is 192.168.1.2 to network 0.0.0.0 C 127.0.0.0 255.255.0.0 is directly connected, cplane O 10.2.1.1 255.255.255.255 [110/21] via 192.168.2.1, 0:01:44, outside C 10.1.2.0 255.255.255.0 is directly connected, inside O 10.2.2.0 255.255.255.0 [110/20] via 192.168.2.1, 0:01:44, outside O 10.1.1.1 255.255.255.255 [110/11] via 10.1.2.2, 0:01:44, inside C 192.168.1.0 255.255.255.0 is directly connected, outside O 192.168.2.0 255.255.255.0 [110/20] via 192.168.2.1, 0:01:44, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.2, outside
Таблица маршрутизации на ASA2:
asa2(config)# show route Gateway of last resort is 192.168.2.2 to network 0.0.0.0 C 127.0.0.0 255.255.0.0 is directly connected, cplane O 10.2.1.1 255.255.255.255 [110/11] via 10.2.2.2, 0:02:24, inside O 10.1.2.0 255.255.255.0 [110/20] via 192.168.1.1, 0:02:24, outside C 10.2.2.0 255.255.255.0 is directly connected, inside O 10.1.1.1 255.255.255.255 [110/21] via 192.168.1.1, 0:02:24, outside O 192.168.1.0 255.255.255.0 [110/20] via 192.168.1.1, 0:02:24, outside C 192.168.2.0 255.255.255.0 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.2.2, outside
Соседи OSPF на ASA1:
asa1(config)# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.2.1 1 FULL/ - 0:00:31 192.168.2.1 outside 10.1.1.1 1 FULL/DR 0:00:34 10.1.2.2 inside asa1(config)#
Информация о настройках OSPF на интерфейсе outside:
asa1(config)# show ospf interface outside
outside is up, line protocol is up
Internet Address 192.168.1.1 mask 255.255.255.0, Area 0
Process ID 1, Router ID 192.168.1.1, Network Type POINT_TO_POINT, Cost: 10
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 0:00:09
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.2.1
Suppress hello for 0 neighbor(s)
[править] Ограничения решения
Ограничения решения:
- Через один интерфейс можно установить отношения соседства только с одним соседом. Как следствие — такая схема будет работать только для связи с одним офисом.
- Такая схема будет работать только между двумя ASA'ми (или между PIX и ASA), но не между маршрутизатором и ASA. В IOS нельзя установить отношения соседства OSPF, если сосед находится не в непосредственно присоединенной сети.
[править] Конфигурационные файлы
[править] sw1
sw1#sh run Building configuration... Current configuration : 2475 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname sw1 ! ! no aaa new-model ip subnet-zero ip routing ! ! ! ! interface Loopback0 ip address 10.1.1.1 255.255.255.0 ! interface FastEthernet0/1 switchport mode dynamic desirable ! interface Vlan1 ip address 10.1.2.2 255.255.255.0 ! router ospf 1 log-adjacency-changes network 10.1.1.0 0.0.0.255 area 0 network 10.1.2.0 0.0.0.255 area 0 ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.2.1 ip http server ip http secure-server
[править] sw2
Building configuration... Current configuration : 1707 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname sw2 ! ! no aaa new-model system mtu routing 1500 ip subnet-zero ip routing ! ! ! ! ! ! interface Loopback0 ip address 10.2.1.1 255.255.255.0 ! interface FastEthernet0/1 ! interface FastEthernet0/2 interface Vlan1 ip address 10.2.2.2 255.255.255.0 ! router ospf 1 log-adjacency-changes network 10.2.1.0 0.0.0.255 area 0 network 10.2.2.0 0.0.0.255 area 0 ! ip classless ip route 0.0.0.0 0.0.0.0 10.2.2.1 ip http server ip http secure-server
[править] ASA1
: Saved : ASA Version 8.0(2) ! hostname asa1 enable password 8Ry2YjIyt7RRXU24 encrypted no names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ospf network point-to-point non-broadcast ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.1.2.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! ! interface Management0/0 nameif management security-level 100 no ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list nat_0 extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 access-list ipsec extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 access-list ipsec extended permit ospf interface outside host 192.168.2.1 pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nat_0 nat (inside) 1 10.1.0.0 255.255.0.0 ! router ospf 1 network 10.1.2.0 255.255.255.0 area 0 network 192.168.1.0 255.255.255.0 area 0 neighbor 192.168.2.1 interface outside log-adj-changes ! route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 route outside 192.168.2.1 255.255.255.255 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set trset esp-des esp-sha-hmac crypto map outmap 10 match address ipsec crypto map outmap 10 set peer 192.168.2.1 crypto map outmap 10 set transform-set trset crypto map outmap interface outside crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global tunnel-group 192.168.2.1 type ipsec-l2l tunnel-group 192.168.2.1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:c3e4fb53525eca1b2aa399b120521953 : end
[править] ASA2
: Saved : ASA Version 8.0(2) ! hostname asa2 enable password 8Ry2YjIyt7RRXU24 encrypted no names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 192.168.2.1 255.255.255.0 ospf network point-to-point non-broadcast ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 no ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list nat_0 extended permit ip 10.2.0.0 255.255.0.0 10.1.0.0 255.255.0.0 access-list ipsec extended permit ip 10.2.0.0 255.255.0.0 10.1.0.0 255.255.0.0 access-list ipsec extended permit ospf interface outside host 192.168.1.1 pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nat_0 nat (inside) 1 10.2.0.0 255.255.0.0 ! router ospf 1 network 10.2.2.0 255.255.255.0 area 0 network 192.168.2.0 255.255.255.0 area 0 neighbor 192.168.1.1 interface outside log-adj-changes ! route outside 0.0.0.0 0.0.0.0 192.168.2.2 1 route outside 192.168.1.1 255.255.255.255 192.168.2.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set trset esp-des esp-sha-hmac crypto map outmap 10 match address ipsec crypto map outmap 10 set peer 192.168.1.1 crypto map outmap 10 set transform-set trset crypto map outmap interface outside crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash md5 group 2 lifetime 86400 no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global tunnel-group 192.168.1.1 type ipsec-l2l tunnel-group 192.168.1.1 ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:e9a7497d6007d8ef0b2d3d13fa7615bf : end asa2(config)#
[править] router
interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.2 255.255.255.0 duplex auto speed auto
[править] Дополнительная информация
- VPN/IPsec with OSPF Configuration Example (англ.) — пример решения аналогичной задачи на сайте Cisco. Кроме того, на указанной странице описано как настроить ASA через ASDM. Некоторые настройки, которые указаны в документации Cisco, на этой странице не используются. По тексту есть ссылки на то, какие настройки из рекомендованных Cisco, были опущены. Возможно, некоторые из них будут обязательными в более сложной топологии.
