Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 01:52



Ответить на тему  [ Сообщений: 9 ] 
замена dmvpn на asa 
Автор Сообщение

Зарегистрирован: 10 дек 2012, 07:03
Сообщения: 100
Откуда: Новосибирск
Добрый день!

Есть кластер из иксовых ASA и головном офисе и пачка филиалов.
Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией.


10 июл 2018, 15:06
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Raz0r писал(а):
Добрый день!

Есть кластер из иксовых ASA и головном офисе и пачка филиалов.
Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией.


В асе можно жалкое подобие левой руки dmvpn phase 1 сделать - споки будут общаться через хаб, вносить в хаб изменения при появлении новых споков будет не нужно.
Делайте динамический крипто меп на хабе, в интересный трафик сувать префикс охватывающий все филиалы (ну, т.е. надо ещё и над адресацией подумать если не с нуля будете делать).
Кроме того надо сказать этому ублюдству
same-security-traffic permit intra-interface
Более того, при наличии на хабе двух провайдеров можно организовать некое подобие отказоустойчивости.
Но всё это так перанально, блин, поменяйте их на водку.


10 июл 2018, 15:22
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать


10 июл 2018, 15:51
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
root99 писал(а):
Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать


А есть пример как в FTD сделать full mesh vpn?


11 июл 2018, 10:06
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Да пожалуйста, в этом и суть FirePOWERа, что на нём можно делать всё, может конечно не так удобно как на АСе и на любом ИОС, но возможности важнее.....

https://www.youtube.com/watch?v=5gp9JnRBgMM
http://www.labminutes.com/sec0248_ftd_6 ... site_vpn_3


Изображение


11 июл 2018, 12:51
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Ну тогда ТСу стоит попробовать переползти на FTD и поебасто с full mesh (но я некопенгаген в этом), всяко веселее чем с тупорылой асой воевать.


11 июл 2018, 14:17
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Для начала достаточно переползти на FTD загрузку на любой Иксовой АСе - а далее уже подтянется ВПН....

АСа код уже как года 2-3 безнадёжно и морально устарел - благо, что железо можно конвертнуть в FirePOWER.....

Единственная ниша для АСы на данный момент - это организации с очень маленькой сетью где используется 1-2 рутера, для развитой инфраструктуры проще и лучше использовать FTD


11 июл 2018, 15:28
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
Коллеги, этот трюк работает если аса куплена на торрентах ?


11 июл 2018, 21:47
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 191
Кстати, а при перешивке ASA -> FirePower на fp дают какую-нибудь халявную лицензию или только триал активировать можно?


08 окт 2018, 12:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB