отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта на тему: "FlexVPN"

с Ириной Ильиной-Сидоровой

 

Read the bio

В ходе сессии "Спросить Эксперта" инженер Cisco TAC ответит на вопросы об основных настройках FlexVPN, путях миграции на технологию FlexVPN для таких решений, как межсайтовый VPN, VPN удалённого доступа, динамический многоузловой VPN.

 

Ирина - инженер центра технической поддержки Cisco в Брюсселе. Ирина работает в группе WLAAAN и занимается поддержкой AAA, Wireless и TrustSec направлений (технологий беспроводного доступа и контроля доступа к сети, а также Cisco TrustSec). Является техническим лидером по продукту Cisco ISE. Ранее в Cisco Ирина работала в российском отделении Advanced Services, где занималась технической поддержкой заказчиков на территории России и стран СНГ.

 

Ссылки:

Теги (5)
20 ОТВЕТ.
New Member

Здравствуйте!На сайте Cisco

Здравствуйте!

На сайте Cisco есть документация как построить отказоустойчивую схему для FlexVPN между маршрутизаторами.
 

Можно ли тоже самое сделать между маршрутизаторами и ASA? Т.е. на место HUB1 и HUB2 поставить ASA. Если можно, то есть ли какие-то особенности настройки ASA для такой схемы?

Спасибо.

Cisco Employee

Добрый день!Поддержка BGP

Добрый день!

Поддержка BGP добавлена на ASA начиная с 9.2.1, остальной конфиг не должен вызывать проблем. Но я не тестировала такое решение. Было бы интересно попробовать в лабе.

 

Ирина

Cisco Employee

ВОПРОС С ВЕБКАСТА:­Lifetime

ВОПРОС С ВЕБКАСТА:

­Lifetime не согласовывается в 1-ом сообщение, верно? ­           

Cisco Employee

Верно. Очень хороший вопрос!В

Верно. Очень хороший вопрос!

В IKEv2 мы не согласовываем lifetime так, как в IKEv1. Здесь оба peer’а самостоятельно поддерживают свой lifetime, и тот, у кого оно истечёт первым, начинает rekey.  В случае, если оба peer’а начнут его одновременно, может возникнуть коллизия и задержки при пересогласовании туннеля, поэтому RFC рекомендует привносить небольшой jitter.  Таким образом, можно суммировать, что у нас возникает интересное отличие от IKEv1 – может быть выгодно настроить разные lifetime с разных сторон туннеля.

Если вы хотите, чтобы peer не инициировал rekey, используйте команду lifetime none.

Cisco Employee

ВОПРОС С ВЕБКАСТА:Расскажите,

ВОПРОС С ВЕБКАСТА:

Расскажите, пожалуйста, подробнее о трафик-селекторе в IKEv2?­        

Cisco Employee

TSi и TSr -  трафик-селекторы

TSi и TSr -  трафик-селекторы инициатора соединения и второй стороны, они содержат source и destination адреса; address range определяет, какой именно трафик будет туннелироваться. В процессе установления соединения эти значения согласуются. Такая схема позволяет не опасаться того, что в результате ошибки при настройках туннель не поднимется или часть трафика пойдёт мимо туннеля. 

Cisco Employee

ВОПРОС С ВЕБКАСТА:­В рамках

ВОПРОС С ВЕБКАСТА:

­В рамках какого курса обучения можно ознакомиться с данной технологией?­        

Cisco Employee

В рамках курса SIMOS -

В рамках курса SIMOS - Implementing Cisco Secure Mobility Solutions.

Cisco Employee

ВОПРОС С ВЕБКАСТА:Скажите,

ВОПРОС С ВЕБКАСТА:

Скажите, пожалуйста, где указывается настройки по split tunnel в DVTI?­       

Cisco Employee

Есть два способа настроить

Есть два способа настроить split tunneling во FlexVPN:

Если политики мы получаем с RADIUS’a:

Cisco-AVPair += "ipsec:route-set=prefix 10.0.0.0/8"

(для туннелирования трафика только 10.0.0.0/8)

Если мы делаем локальные настройки, необходимо добавить следующий атрибут attribute в local authorization policy

route set access-list <..>

и перечислить там сети, достижимые для клиента.

Cisco Employee

ВОПРОС С ВЕБКАСТА:­Есть ли

ВОПРОС С ВЕБКАСТА:

­Есть ли поддержка IKEv2 для GET-VPN?­      

Cisco Employee

Поддержка IKEv2 для GM

Поддержка IKEv2 для GM Registration появилась в ветви 15.3, поддержка key server и group member  в соответствии с драфтом draft-yeung-g-ikev2-07 появилась в 15.5(1)

Cisco Employee

ВОПРОС С ВЕБКАСТА:­Есть ли

ВОПРОС С ВЕБКАСТА:

­Есть ли какие-то особенности настройки конфигурирования крипто-туннеля для ASA5505 в случае использования переключения на бэкапный канал (dual isp)?­

Cisco Employee

Основная особенность будет

Основная особенность будет заключаться в том, что без security plus лицензии Вам доступны только 3 VLAN’a, причём один из них – ограниченный.

То есть, понадобится Security Plus license.

Cisco Employee

­ВОПРОС С ВЕБКАСТА:Для

­ВОПРОС С ВЕБКАСТА:

Для организации аналога DMVPN Phase 3 Нужно на всех SPoke прописывать всех остальных ? Как Spoke узнает IP адрес для создания динамического туннеля до другого SPoke без NHRP? Или доступна только HUB-SPOKE  архитектура?­     

Cisco Employee

См. ответ выше.Доступны и

См. ответ выше.

Доступны и spoke-spoke коммуникации. Для них мы действительно используем NHRP. Вот ссылка на настройку в этом случае: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-2mt/sec-flex-spoke.html

Cisco Employee

ВОПРОС С ВЕБКАСТА:­NHRP

ВОПРОС С ВЕБКАСТА:

­NHRP решает проблему серых/динамических адресов, а также создание динамических туннелей spoke-to-spoke, как это решается в случае Flex?­

Cisco Employee

В случае соединений spoke-to

В случае соединений spoke-to-spoke,  для FlexVPN мы тоже используем NHRP. Однако я не рассматривала этот вариант в своей презентации. Вы можете почитать о том, как настроить такую схему на нашем сайте: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-2mt/sec-flex-spoke.html

Cisco Employee

ВОПРОС С ВЕБКАСТА:­Клиент под

ВОПРОС С ВЕБКАСТА:

­Клиент под новые платформы планируется, например, для windows phone 8.1?­

Cisco Employee

Уже есть!AnyConnect для

Уже есть!

AnyConnect для Windows 8.1 Update 1 - поддержка добавлена в 3.1.05170.

AnyConnect для Windows 8.1 32-bit and 64-bit - поддержка добавлена в AnyConnect 3.1.04072.

AnyConnect для Windows 8 32-bit and Windows 8 64-bit operating systems - поддержка добавлена в  3.0.11042 и более поздние версии (для 3.0.x), а также 3.1.02026 и более поздние версии (для 3.1.x).

См. http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect31/release/notes/anyconnect31rn.html#pgfId-203496

493
Просмотры
0
Полезный материал
20
Ответы
СоздатьДля создания публикации, пожалуйста в систему