Трафик ESP через ASA

Answered Question
авг 18th, 2011
User Badges:

Необходимо пропустить трафик  ESP (Protocol 50) через Cisco ASA 5510. Необходимо ли вносить дополнительные настройки на ASA, чтобы пропускать данный вид трафика?


Спасибо!

I have this problem too.
0 голоса
Correct Answer by Ivan Krimmel about 5 лет 10 месяцев назад

Дмитрий,


для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:


same-security-traffic


читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.


С уважением,

Иван.

Loading.
Ivan Krimmel сб, 08/20/2011 - 07:22
User Badges:
  • Gold, 750 points or more

Дмитрий,


если между интерфейсами ASA происходит фильтрация, то трафик ESP, как и любой другой, нужно разрешать явно.

Dmitry Milekhin вс, 08/21/2011 - 22:34
User Badges:

Иван, спасибо за ответ!


Между интерфейсами сейчас нет фильтрации и они имеют одинаковый security-level:


interface Ethernet0/0.51

vlan 51

nameif name

security-level 100

ip address х.х.х.х х.х.х.х


interface Ethernet0/3.21

vlan 21

nameif name2

security-level 100

ip address y.y.y.y y.y.y.y


В таком случае ESP-трафик будет проходить между этими интерфейсами?


Попутно читал(но, может быть, не так понял), что нужно дописывать:


inspect ipsec-pass-thru


Это так?

Спасибо!

Correct Answer
Ivan Krimmel сб, 09/03/2011 - 03:18
User Badges:
  • Gold, 750 points or more

Дмитрий,


для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:


same-security-traffic


читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.


С уважением,

Иван.

Dmitry Milekhin сб, 09/03/2011 - 04:56
User Badges:

Спасибо, Иван!


Трафик пошел после ввода

inspect ipsec-pass-thru

при уже существовавшей  команде

same-security-traffic.


Проблема решена!

Ivan Krimmel сб, 09/03/2011 - 05:02
User Badges:
  • Gold, 750 points or more

Дмитрий, рад был помочь!


Я всё же думаю, что в нынешнем софте MPF включён по умолчанию(к примеру, чтобы ходили пинги нужно включать 'inspect icmp'), поэтому и 'inspect ipsec-pass-thru' требует быть включённым.


С уважением,


Иван.

Eugene Khabarov ср, 10/05/2011 - 22:46
User Badges:
  • Silver, 250 points or more

Иван, MPF включен, но включена по-умолчанию инспекция не всех протоколов. Так inspect ipsec-pass-thru не включен по-умолчанию, по крайней мере в 8.4

Действия

Информация о дискуссии