Сообщения без ответов | Активные темы Текущее время: 16 июл 2018, 21:22



Ответить на тему  [ Сообщений: 8 ] 
замена dmvpn на asa 
Автор Сообщение

Зарегистрирован: 10 дек 2012, 07:03
Сообщения: 98
Откуда: Новосибирск
Добрый день!

Есть кластер из иксовых ASA и головном офисе и пачка филиалов.
Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией.


10 июл 2018, 15:06
Профиль Отправить email

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1890
Откуда: Волгоград
Raz0r писал(а):
Добрый день!

Есть кластер из иксовых ASA и головном офисе и пачка филиалов.
Маршрутизаторов нет, все через asa. Сейчас между бранчами подняты l2l vpn. Хочется как-то оптимизировать конфигурацию. На роутерах бы имело смысл поднять dmvpn, но asa не поддерживает. Есть ли что-то аля dmvpn на asa под эту задачу? Слышал, что в новом софте ASA появилась поддержка vti, но не знаком с этой технологией.


В асе можно жалкое подобие левой руки dmvpn phase 1 сделать - споки будут общаться через хаб, вносить в хаб изменения при появлении новых споков будет не нужно.
Делайте динамический крипто меп на хабе, в интересный трафик сувать префикс охватывающий все филиалы (ну, т.е. надо ещё и над адресацией подумать если не с нуля будете делать).
Кроме того надо сказать этому ублюдству
same-security-traffic permit intra-interface
Более того, при наличии на хабе двух провайдеров можно организовать некое подобие отказоустойчивости.
Но всё это так перанально, блин, поменяйте их на водку.


10 июл 2018, 15:22
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 262
Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать


10 июл 2018, 15:51
Профиль Отправить email

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1890
Откуда: Волгоград
root99 писал(а):
Если АСЫ иксовые перешивайте их в FTD ( FirePOWER ) и будет вам счастье, но придётся очень по-прыгать


А есть пример как в FTD сделать full mesh vpn?


11 июл 2018, 10:06
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 262
Да пожалуйста, в этом и суть FirePOWERа, что на нём можно делать всё, может конечно не так удобно как на АСе и на любом ИОС, но возможности важнее.....

https://www.youtube.com/watch?v=5gp9JnRBgMM
http://www.labminutes.com/sec0248_ftd_6 ... site_vpn_3


Изображение


11 июл 2018, 12:51
Профиль Отправить email

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1890
Откуда: Волгоград
Ну тогда ТСу стоит попробовать переползти на FTD и поебасто с full mesh (но я некопенгаген в этом), всяко веселее чем с тупорылой асой воевать.


11 июл 2018, 14:17
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 262
Для начала достаточно переползти на FTD загрузку на любой Иксовой АСе - а далее уже подтянется ВПН....

АСа код уже как года 2-3 безнадёжно и морально устарел - благо, что железо можно конвертнуть в FirePOWER.....

Единственная ниша для АСы на данный момент - это организации с очень маленькой сетью где используется 1-2 рутера, для развитой инфраструктуры проще и лучше использовать FTD


11 июл 2018, 15:28
Профиль Отправить email

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 904
Коллеги, этот трюк работает если аса куплена на торрентах ?


11 июл 2018, 21:47
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 9


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB