The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Failover IPSec между SRX240 и ASA 5520"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Labus (ok) on 13-Апр-12, 17:09 
Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520.

Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей.

Со стороны ASA вроде как понятно (если не прав, то поправьте):

access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0
access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
crypto map RTP 1 match address IPSEC-tunnel
crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y
crypto map RTP 1 set transform-set 3des-sha des-sha
crypto map RTP interface outside
crypto isakmp identity address
crypto isakmp enable outside
tunnel-group X.X.X.X type ipsec-l2l
tunnel-group X.X.X.X ipsec-attributes
pre-shared-key *****
tunnel-group Y.Y.Y.Y type ipsec-l2l
tunnel-group Y.Y.Y.Y ipsec-attributes
pre-shared-key *****

А вот со стороны SRX понятно не все.

interfaces {
    ge-0/0/0 {
        description ISP1;
        unit 0 {
            family inet {
                address X.X.X.X/30;
            }
        }
    }
    ge-0/0/1 {
        description ISP2;
        unit 0 {
            family inet {
                address Y.Y.Y.Y/27;
            }
        }
    }
   st0 {
        unit 0 {
            family inet;
        }
        unit 1 {
            family inet;
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 {
            next-hop I.S.P.1;
            qualified-next-hop I.S.P.2 {
                preference 100;
            }
            preference 50;
        }
        Сюда вроде как тоже вписывать маршруты для IPSec сетей и заворачивать их в st0.0 и st0.1?
    }
}
security {
    ike {
        proposal IKE_3DES_SHA {
        ............
        }
        policy IKE_POLICY1 {
        ............
        }
        gateway PEER-ASA5520-1 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/0.0;
        }
        gateway PEER-ASA5520-2 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/1.0;
        }
    }
    ipsec {
        proposal IPSEC_3DES-SHA {
        ........        
        }
        policy IPSEC_POLICY1 {
            proposals IPSEC_3DES-SHA;
        }
        vpn ASA-VPN-1 {
            bind-interface st0.0;
            ike {
                gateway IPEER-ASA5520-1;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                service any;
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
        vpn ASA-VPN-SPB-2 {
            bind-interface st0.1;
            ike {
                gateway ASA-PEER-ASA5520-2;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
    }

Помогите с SRX пожалуйста.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Port22 on 13-Апр-12, 23:43 
Привет,

такие вопросы лучше задавать на nag.ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Aleks305 (ok) on 14-Апр-12, 22:16 
> Привет,
> такие вопросы лучше задавать на nag.ru

мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Labus (ok) on 16-Апр-12, 09:57 
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA

  Это можно решить через policy-based?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Pve1 (ok) on 16-Апр-12, 10:45 
>> Привет,
>> такие вопросы лучше задавать на nag.ru
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA

А разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Aleks305 (ok) on 16-Апр-12, 14:28 
>>> Привет,
>>> такие вопросы лучше задавать на nag.ru
>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>> которых нет на ASA
> А разве на ASA в crypto map нельзя резервного пира прописать, разве
> нет? :)

ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Aleks305 (ok) on 16-Апр-12, 14:29 
>>>> Привет,
>>>> такие вопросы лучше задавать на nag.ru
>>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>>> которых нет на ASA
>> А разве на ASA в crypto map нельзя резервного пира прописать, разве
>> нет? :)
> ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site -
> есть БОЛЬШИЕ сомнения

кстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Failover IPSec между SRX240 и ASA 5520"  +/
Сообщение от Labus (ok) on 18-Апр-12, 11:18 
> кстати, policy-based у меня так и не заработал между asa и juniper(правда
> не сильно может быть старался

Победил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-as...

Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-pr...

В итоге через policy-based удалось решить проблему.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру