Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel

"Некоторые аспекты построения отказоустойчивых Site-to-Site VPN на ASA" - вопросы и ответы



Введение

Read the bio

Во  время презентации эксперт Cisco TAC Олег Типисов рассказал об основных  понятиях и аспектах построения отказоустойчивых Site-to-Site VPN на ASA.  Также были приведены примеры конфигурации и основные методы поиска  неисправностей.

 

Ссылки:

Вопросы и ответы

Q: Добрый день. Вопрос по Site-To-Site и OSPF. Возможно ли построение следующей конфигурации: 2 Cisco ASA с двумя каналами (1 основной + 1 резервный) с OSPF поверх двух Site-To-Site для передачи маршрутной информации и обеспечением отказоустойчивости средствами OSPF?                  

A: Вкратце, можно, если на каждом интерфейсе ASA только 1 OSPF neighbor (т.е. 1 туннель на 1 интерфейс) и с другой стороны туннеля тоже ASA с OSPF (не IOS).  

 

Q: На практике одновременно 2 соседства не получается поддерживать, т.к. два Site-To-Site для одинаковых подсетей не поддерживаются.

A: На уровне IPsec - да, ASA не позволит иметь два IPsec SA для одних и тех же proxy identity.  Вы можете иметь один активный SA и один будет в down. Единственное исключение, - надо чтобы ASA была всегда инициатором туннеля, а другая сторона - респондером. Но и эта возможность скоро будет "прикрыта" разработчиками.               

 

Q: Может быть 2 Site-To-Site + OSPF можно реализовать, запустив по 2 контекста на каждой ASA для каждого из туннелей?                      

A: Технически, можно попробовать - OSPF в 9.0 поддерживается в Multiple Context, IPsec SA не должны конфликтовать между контекстами.  Но возникает вопрос - как вы выберете ASA, через которую будет передаваться сессия?  Асимметрии быть не должно. Нужно будет настроить маршрутизацию так, чтобы трафик сессии туда и обратно ходил через одну ASA.  Скажем, настроить cost с обоих сторон, чтобы один туннель был более приоритетным.            

 

Q: Будет ли поддерживаться динамическая маршрутизация в мульти-контексте?                              

A: Да, поддерживается с 9.х http://www.cisco.com/en/US/docs/security/asa/roadmap/asa_new_features.html         

 

Q: В режиме балансировки failover A/A на каждой ASA у каждого виртуального контекста отдельные адреса? На основе каких параметров осуществляется балансировка? Какую деградацию по производительности это вносит?

A: В классическом a/a failover автоматической балансировки как таковой нет - контексты представляют из себя независимые виртуальные маршрутизаторы с разными IP адресами из разных сетей (как правило).  Вам самостоятельно надо чем-то маршрутизировать трафик на разные контексты.              

 

Q: Чем в IP SLA параметр threshold отличается от timeout?                              

A: На ASA threshold в настоящее время не функционирует и используется только timeout.             

 

Q: А планируется использовать PFR на ASA?                  

A: Пока таких планов нет для ASA.           

 

Q: Есть возможность организовать мультипоинт VPN, если Spoke на динамических адресах и там ASA?                  

A: ASA с динамическими IP адресами могут быть либо EazyVPN клиентами, либо инициаторами IPsec L2L, при условии что респондер для IPsec L2L имеет статический IP и динамический crypto map. L2L кто-то должен инициировать со стороны ASA (посылать трафик). Динамические crypto map на стороне хаба позволяют не прописывать споков.                

 

Q: Есть ли на ASA функция Keep Alive?

A: Если речь идет про VPN, то на ASA есть механизм DPD (Dead Peer Detection).                   

 

Q: Есть такие провайдеры, которые фильтруют IPSec трафик. На данный момент выход из этой ситуации осуществляем через OpenVPN. Средствами самой ASA как-то можно поднять l2l соединение?                          

A: Вы можете включить IPSecoverTCP, тогда ESP будет энкапсулироваться в TCP, а такие пакеты провайдер не блокирует.                       

 

Q: Будет ли работать HSRP через ASA VPN в случае установки маршрутизаторов 3945 в двух разных офисах? Основной офис предоставляет доступ в интернет постоянно, филиал начинает подключаться когда в основном офисе интернет канал и маршрутизатор вышел из строя.         

A: HSRP использует мультикастовый трафик между HSRP маршрутизаторами, и HSRP маршрутизаторы должны быть directly connected, Т.е. никаких туннелей между HSRP маршрутизаторами не может быть.              

 

Q: Как посоветуете настроить следующую схему: ASA(с двумя ISP) <-> Router(один ISP), где только Router должен быть инициатором соединений?

A: Настроить crypto map на ASA как Responder-only, или сделать на ASA динамический crypto map.

1926
Просмотры
0
Полезный материал
0
Комментарии