| Anticisco http://anticisco.ru/forum/ |
|
| замена dmvpn на asa http://anticisco.ru/forum/viewtopic.php?f=2&t=10579 |
Страница 1 из 1 |
| Автор: | Raz0r [ 10 июл 2018, 15:06 ] |
| Заголовок сообщения: | замена dmvpn на asa |
Добрый день! Есть кластер из иксовых ASA и головном офисе и пачка филиалов. Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией. |
|
| Автор: | _2e_ [ 10 июл 2018, 15:22 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Raz0r писал(а): Добрый день! Есть кластер из иксовых ASA и головном офисе и пачка филиалов. Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией. В асе можно жалкое подобие левой руки dmvpn phase 1 сделать - споки будут общаться через хаб, вносить в хаб изменения при появлении новых споков будет не нужно. Делайте динамический крипто меп на хабе, в интересный трафик сувать префикс охватывающий все филиалы (ну, т.е. надо ещё и над адресацией подумать если не с нуля будете делать). Кроме того надо сказать этому ублюдству same-security-traffic permit intra-interface Более того, при наличии на хабе двух провайдеров можно организовать некое подобие отказоустойчивости. Но всё это так перанально, блин, поменяйте их на водку. |
|
| Автор: | root99 [ 10 июл 2018, 15:51 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать |
|
| Автор: | _2e_ [ 11 июл 2018, 10:06 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
root99 писал(а): Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать А есть пример как в FTD сделать full mesh vpn? |
|
| Автор: | root99 [ 11 июл 2018, 12:51 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Да пожалуйста, в этом и суть FirePOWERа, что на нём можно делать всё, может конечно не так удобно как на АСе и на любом ИОС, но возможности важнее..... https://www.youtube.com/watch?v=5gp9JnRBgMM http://www.labminutes.com/sec0248_ftd_6 ... site_vpn_3 
|
|
| Автор: | _2e_ [ 11 июл 2018, 14:17 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Ну тогда ТСу стоит попробовать переползти на FTD и поебасто с full mesh (но я некопенгаген в этом), всяко веселее чем с тупорылой асой воевать. |
|
| Автор: | root99 [ 11 июл 2018, 15:28 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Для начала достаточно переползти на FTD загрузку на любой Иксовой АСе - а далее уже подтянется ВПН.... АСа код уже как года 2-3 безнадёжно и морально устарел - благо, что железо можно конвертнуть в FirePOWER..... Единственная ниша для АСы на данный момент - это организации с очень маленькой сетью где используется 1-2 рутера, для развитой инфраструктуры проще и лучше использовать FTD |
|
| Автор: | Рубен Папян [ 11 июл 2018, 21:47 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Коллеги, этот трюк работает если аса куплена на торрентах ? |
|
| Автор: | tr33ks [ 08 окт 2018, 12:25 ] |
| Заголовок сообщения: | Re: замена dmvpn на asa |
Кстати, а при перешивке ASA -> FirePower на fp дают какую-нибудь халявную лицензию или только триал активировать можно? |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|