| Anticisco http://anticisco.ru/forum/ |
|
| ASA - как сократить конфиг? http://anticisco.ru/forum/viewtopic.php?f=2&t=10601 |
Страница 1 из 1 |
| Автор: | thdonatello [ 20 июл 2018, 08:57 ] |
| Заголовок сообщения: | ASA - как сократить конфиг? |
Доброго дня! Часть конфига хаба в головном офисе: Код: group-policy TunnelGP internal group-policy TunnelGP attributes vpn-session-timeout none vpn-idle-timeout none vpn-tunnel-protocol ikev2 crypto ipsec profile VTI-Profile set ikev2 ipsec-proposal AES-256 responder-only tunnel-group aaa.aaa.aaa.aaa type ipsec-l2l tunnel-group aaa.aaa.aaa.aaa ipsec-attributes ikev2 remote-auth pre-shared-key Secret ikev2 local-auth pre-shared-key Secret tunnel-group aaa.aaa.aaa.aaa general-attributes default-group-policy TunnelGP tunnel-group bbb.bbb.bbb.bbb type ipsec-l2l tunnel-group bbb.bbb.bbb.bbb ipsec-attributes ikev2 remote-auth pre-shared-key Secret ikev2 local-auth pre-shared-key Secret tunnel-group bbb.bbb.bbb.bbb general-attributes default-group-policy TunnelGP crypto ipsec ikev2 ipsec-proposal AES-256 esp-aes-256 esp-sha-hmac ########VTI Configuration for both WAN circuits int Tunnel1 nameif VTI_1 ip address 172.16.250.102 255.255.255.0 tunnel source interface outside tunnel destination aaa.aaa.aaa.aaa tunnel mode ipsec ipv4 tunnel protection ipsec profile VTI-Profile int Tunnel2 nameif VTI_2 ip address 172.17.250.102 255.255.255.0 tunnel source interface outside_backup tunnel destination bbb.bbb.bbb.bbb tunnel mode ipsec ipv4 tunnel protection ipsec profile VTI-Profile crypto ikev2 policy 2018 encryption aes-256 integrity sha group 5 prf sha lifetime seconds 28800 crypto ikev2 enable outside crypto ikev2 enable outside_backup Таких туннелей нужно много. Понимаю, что конфиги int TunnelХХ не сократить, но может быть можно как-то собрать части tunnel-group aaa.aaa.aaa.aaa в одну запись? Настройки каждой такой группы идентичны, хаб является responder-only. Хочется что-то типа Dynamic crypto map. Заранее благодарен. |
|
| Автор: | _2e_ [ 20 июл 2018, 10:01 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
Ну так и сделайте дайнэмик крипто мэп в ikev1. Какой понт тут от ikev2? Слово туннель? |
|
| Автор: | thdonatello [ 20 июл 2018, 17:56 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
Хороший Вы, _2e_, человек, спасибо за все Ваши ответы и советы. Вот только задачи странно реализовываете  Давайте предположим, что это задачка по геометрии: "Решить методом от противного..." - т.е. результат можно получить разными путями, а вот нужно именно этим способом.
|
|
| Автор: | _2e_ [ 20 июл 2018, 18:48 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
Каждый кто дрочится с asa/ftd - ССЗБ. |
|
| Автор: | Lomax [ 21 июл 2018, 17:34 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
если все настройки идентичны - попробуйте поместить их в "tunnel-group DefaultL2LGroup" |
|
| Автор: | thdonatello [ 23 июл 2018, 07:54 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
Т.е. tunnel-group DefaultL2LGroup - это некая группа по умолчанию? |
|
| Автор: | crash [ 23 июл 2018, 10:58 ] |
| Заголовок сообщения: | Re: ASA - как сократить конфиг? |
да. Если выполнить команду Код: sh run all tunnel-group Код: tunnel-group DefaultL2LGroup type ipsec-l2l tunnel-group DefaultL2LGroup general-attributes no accounting-server-group default-group-policy DfltGrpPolicy tunnel-group DefaultL2LGroup ipsec-attributes no ikev1 pre-shared-key peer-id-validate req no chain no ikev1 trust-point isakmp keepalive threshold 10 retry 2 no ikev2 remote-authentication no ikev2 local-authentication |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|