Трафик ESP через ASA

Answered Question
Авг 18th, 2011

Необходимо пропустить трафик  ESP (Protocol 50) через Cisco ASA 5510. Необходимо ли вносить дополнительные настройки на ASA, чтобы пропускать данный вид трафика?

Спасибо!

I have this problem too.
0 голоса
Correct Answer by Ivan Krimmel about 3 года 6 месяца назад

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

  • 1
  • 2
  • 3
  • 4
  • 5
Средняя оценка
Ivan Krimmel сб, 08/20/2011 - 07:22

Дмитрий,

если между интерфейсами ASA происходит фильтрация, то трафик ESP, как и любой другой, нужно разрешать явно.

Dmitry Milekhin вс, 08/21/2011 - 22:34

Иван, спасибо за ответ!

Между интерфейсами сейчас нет фильтрации и они имеют одинаковый security-level:

interface Ethernet0/0.51

vlan 51

nameif name

security-level 100

ip address х.х.х.х х.х.х.х

interface Ethernet0/3.21

vlan 21

nameif name2

security-level 100

ip address y.y.y.y y.y.y.y

В таком случае ESP-трафик будет проходить между этими интерфейсами?

Попутно читал(но, может быть, не так понял), что нужно дописывать:

inspect ipsec-pass-thru

Это так?

Спасибо!

Correct Answer
Ivan Krimmel сб, 09/03/2011 - 03:18

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

Dmitry Milekhin сб, 09/03/2011 - 04:56

Спасибо, Иван!

Трафик пошел после ввода

inspect ipsec-pass-thru

при уже существовавшей  команде

same-security-traffic.

Проблема решена!

Ivan Krimmel сб, 09/03/2011 - 05:02

Дмитрий, рад был помочь!

Я всё же думаю, что в нынешнем софте MPF включён по умолчанию(к примеру, чтобы ходили пинги нужно включать 'inspect icmp'), поэтому и 'inspect ipsec-pass-thru' требует быть включённым.

С уважением,

Иван.

Eugene Khabarov ср, 10/05/2011 - 22:46

Иван, MPF включен, но включена по-умолчанию инспекция не всех протоколов. Так inspect ipsec-pass-thru не включен по-умолчанию, по крайней мере в 8.4

Действия

Login or Register to take actions

Информация о дискуссии

Создан
Статистика
Ответы6 Avg. Rating:5
Views:425 Votes:0
Поделились ссылкой0
Tags: нет тегов
 

Discussions Leaderboard

Рейтинг Имя пользователя Очки
1 142
2 94
3 75
4 50
5 20
Рейтинг Имя пользователя Очки
10