Raz0r писал(а):
Добрый день!
Есть кластер из иксовых ASA и головном офисе и пачка филиалов.
Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией.
В асе можно жалкое подобие левой руки dmvpn phase 1 сделать - споки будут общаться через хаб, вносить в хаб изменения при появлении новых споков будет не нужно.
Делайте динамический крипто меп на хабе, в интересный трафик сувать префикс охватывающий все филиалы (ну, т.е. надо ещё и над адресацией подумать если не с нуля будете делать).
Кроме того надо сказать этому ублюдству
same-security-traffic permit intra-interface
Более того, при наличии на хабе двух провайдеров можно организовать некое подобие отказоустойчивости.
Но всё это так перанально, блин, поменяйте их на водку.