отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Трафик ESP через ASA

Необходимо пропустить трафик  ESP (Protocol 50) через Cisco ASA 5510. Необходимо ли вносить дополнительные настройки на ASA, чтобы пропускать данный вид трафика?

Спасибо!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Трафик ESP через ASA

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

6 ОТВЕТ.

Трафик ESP через ASA

Дмитрий,

если между интерфейсами ASA происходит фильтрация, то трафик ESP, как и любой другой, нужно разрешать явно.

New Member

Трафик ESP через ASA

Иван, спасибо за ответ!

Между интерфейсами сейчас нет фильтрации и они имеют одинаковый security-level:

interface Ethernet0/0.51

vlan 51

nameif name

security-level 100

ip address х.х.х.х х.х.х.х

interface Ethernet0/3.21

vlan 21

nameif name2

security-level 100

ip address y.y.y.y y.y.y.y

В таком случае ESP-трафик будет проходить между этими интерфейсами?

Попутно читал(но, может быть, не так понял), что нужно дописывать:

inspect ipsec-pass-thru

Это так?

Спасибо!

Трафик ESP через ASA

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

New Member

Трафик ESP через ASA

Спасибо, Иван!

Трафик пошел после ввода

inspect ipsec-pass-thru

при уже существовавшей  команде

same-security-traffic.

Проблема решена!

Трафик ESP через ASA

Дмитрий, рад был помочь!

Я всё же думаю, что в нынешнем софте MPF включён по умолчанию(к примеру, чтобы ходили пинги нужно включать 'inspect icmp'), поэтому и 'inspect ipsec-pass-thru' требует быть включённым.

С уважением,

Иван.

Трафик ESP через ASA

Иван, MPF включен, но включена по-умолчанию инспекция не всех протоколов. Так inspect ipsec-pass-thru не включен по-умолчанию, по крайней мере в 8.4

525
Просмотры
10
Полезный материал
6
Ответы