Трафик ESP через ASA

Answered Question
Aug 18th, 2011

Необходимо пропустить трафик  ESP (Protocol 50) через Cisco ASA 5510. Необходимо ли вносить дополнительные настройки на ASA, чтобы пропускать данный вид трафика?

Спасибо!

I have this problem too.
0 votes
Correct Answer by Ivan Krimmel about 2 years 7 months ago

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 5 (3 ratings)
Ivan Krimmel Sat, 08/20/2011 - 07:22

Дмитрий,

если между интерфейсами ASA происходит фильтрация, то трафик ESP, как и любой другой, нужно разрешать явно.

dmilekhin Sun, 08/21/2011 - 22:34

Иван, спасибо за ответ!

Между интерфейсами сейчас нет фильтрации и они имеют одинаковый security-level:

interface Ethernet0/0.51

vlan 51

nameif name

security-level 100

ip address х.х.х.х х.х.х.х

interface Ethernet0/3.21

vlan 21

nameif name2

security-level 100

ip address y.y.y.y y.y.y.y

В таком случае ESP-трафик будет проходить между этими интерфейсами?

Попутно читал(но, может быть, не так понял), что нужно дописывать:

inspect ipsec-pass-thru

Это так?

Спасибо!

Correct Answer
Ivan Krimmel Sat, 09/03/2011 - 03:18

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

dmilekhin Sat, 09/03/2011 - 04:56

Спасибо, Иван!

Трафик пошел после ввода

inspect ipsec-pass-thru

при уже существовавшей  команде

same-security-traffic.

Проблема решена!

Ivan Krimmel Sat, 09/03/2011 - 05:02

Дмитрий, рад был помочь!

Я всё же думаю, что в нынешнем софте MPF включён по умолчанию(к примеру, чтобы ходили пинги нужно включать 'inspect icmp'), поэтому и 'inspect ipsec-pass-thru' требует быть включённым.

С уважением,

Иван.

Eugene Khabarov Wed, 10/05/2011 - 22:46

Иван, MPF включен, но включена по-умолчанию инспекция не всех протоколов. Так inspect ipsec-pass-thru не включен по-умолчанию, по крайней мере в 8.4

Actions

Login or Register to take actions

This Discussion

Posted August 18, 2011 at 3:55 AM
Stats:
Replies:6 Avg. Rating:5
Views:406 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard