Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE)

Материал из Xgu.ru

Перейти к: навигация, поиск
Короткий URL: Cisco_ASA/OSPF_IPSec
Автор: Наташа Самойленко

Как правило, сообщениями протокола OSPF маршрутизаторы обмениваются, используя многоадресную пересылку (multicast). Между удалёнными друг от друга сетями multicast-трафик передаётся поверх GRE-туннелей.

Cisco ASA не поддерживает GRE-туннели. Однако, начиная с версии ОС 7.x, Cisco ASA и Cisco PIX позволяют передавать сообщения OSPF unicast'ом через существующее VPN-соединение, без использования протокола GRE.

Пока что такая возможность есть только для протокола OSPF.

На этой странице описывается пример настройки туннеля IPSec между двумя Cisco ASA и передача трафика OSPF между внутренними сетями, которые находятся за ASA'ми.

Содержание

[править] Задача

ASA OSPF IPsec.jpg

Показаны настройки для коммутатора sw1 и ASA1, для коммутатора sw2 и ASA2 всё выполняется аналогично. Конфигурационные файлы всех устройств в конце страницы.

В тексте те настройки, которые позволяют передавать OSPF через IPSec, выделены жирным шрифтом.

[править] Базовые настройки

[править] Базовые настройки коммутаторов

На коммутаторах создан loopback-интерфейс, для того чтобы проверить, что маршруты и Офиса 1 будут видны в Офисе 2 и показать как настроить access-list для IPSec и исключения из трансляции:

sw1(config)# interface Loopback0
sw1(config-if)# ip address 10.1.1.1 255.255.255.0

В VLAN 1 задан адрес (все порты коммутатора в VLAN 1):

sw1(config)# interface vlan 1 
sw1(config-if)# ip address 10.1.2.2 255.255.255.0

Маршрут по умолчанию для коммутаторов — внутренний интерфейс ASA:

sw1(config)# ip route 0.0.0.0 0.0.0.0 10.1.2.1

[править] Базовые настройки ASA

Интерфейс g 0/0 настроен как outside интерфейс и по умолчанию этому имени интерфейса соответствует уровень безопасности 0:

asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# nameif outside
asa1(config-if)# ip address 192.168.1.1 255.255.255.0 

Интерфейс g 0/1 настроен как inside интерфейс и по умолчанию этому имени интерфейса соответствует уровень безопасности 100:

asa1(config)# interface GigabitEthernet0/1
asa1(config-if)# nameif inside
asa1(config-if)# ip address 10.1.2.1 255.255.255.0 

Маршрут по умолчанию:

asa1(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.2 1

Note-icon.gif

В документации Cisco рекомендуют прописывать статический маршрут к соседу OSPF (который доступен через туннель), для того чтобы избежать петель когда OSPF работает через IPsec. Однако такие проблемы проявляются не всегда. В данной топологии всё работает и без этого маршрута, однако в более сложных сетях такая проблема может проявиться.

Статический маршрут к ASA2:

asa1(config)# route outside 192.168.2.1 255.255.255.255 192.168.1.2 1

[править] Настройка трансляции адресов

На ASA настроена трансляция адресов для всей сети офиса:

asa1(config)# nat (inside) 1 10.1.0.0 255.255.0.0

Соответствующее правило global указывает, что вся сеть будет транслироваться в адрес интерфейса outside:

asa1(config)# global (outside) 1 interface
[править] Исключение из трансляции адресов

Для того чтобы в пакетах, которые идут через VPN не транслировались адреса, настраивается исключение из правила трансляции — NAT Exemption.

У правила NAT Exemption приоритет по сравнению с настройкой PAT. Поэтому в пакетах, которые будут идти в локальную сеть Офиса 2, адреса не будут транслироваться, а в пакетах идущих в другие сети (Интернет) адреса будут транслироваться.

Access-list nat_0 указывает какие пакеты исключить из правил трансляции адресов (если пакет идет из Офиса 1 в Офис 2):

asa1(config)# access-list nat_0 extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 

Настройка правила исключения из трансляции:

asa1(config)# nat (inside) 0 access-list nat_0

[править] Настройка OSPF

[править] Настройка OSPF на коммутаторах

На коммутаторах включен ip routing:

sw1(config)# ip routing

OSPF включен для двух сетей (VLAN 1 и loopback):

sw1(config)# router ospf 1
sw1(config-router)# network 10.1.1.0 0.0.0.255 area 0
sw1(config-router)# network 10.1.2.0 0.0.0.255 area 0

Можно указать суммарную сеть, если OSPF должен быть включен для всех сетей в Офис 1:

sw1(config)# router ospf 1
sw1(config-router)# network 10.1.0.0 0.0.255.255 area 0

[править] Настройка OSPF на ASA

На внешнем интерфейсе (интерфейс на котором строится VPN-туннель) должен быть указан тип сети point-to-point non-broadcast:

asa1(config)# interface GigabitEthernet0/0
asa1(config-if)# ospf network point-to-point non-broadcast

Такая настройка позволяет отправлять пакеты OSPF unicast'ом, непосредственно соседу, который будет указан ниже.

Icon-caution.gif

Когда интерфейс настроен как point-to-point, на нем не может быть более одного соседа. Поэтому эта схема может использоваться только для связи двух точек.

При попытке добавить ещё одного соседа на том же интерфейсе, ASA выдаст ошибку:

asa1(config-router)# neighbor 192.168.2.2 interface outside
ERROR: Only one neighbor allowed on point-to-point interfaces

OSPF должен быть включен для локальной сети и внешней сети:

asa1(config)# router ospf 1
asa1(config-router)# network 10.1.2.0 255.255.255.0 area 0
asa1(config-router)# network 192.168.1.0 255.255.255.0 area 0

Сеть внешнего интерфейса указывается для того, чтобы на этом интерфейсе был включен OSPF. Иначе, при указании соседа, будет такое сообщение об ошибке:

asa1(config-router)# neighbor 192.168.2.1 interface outside      
INFO: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface

Указание соседа, которому OSPF-пакеты будут отправляться unicast:

asa1(config-router)# neighbor 192.168.2.1 interface outside

Параметры команды neighbor:

  • 192.168.2.1 — IP-адрес соседа OSPF,
  • interface outside — интерфейс, который используется для взаимодействия с соседом. Если сосед OSPF находится не в той же сети, что и любой из непосредственно присоединенных интерфейсов, то параметр interface указывать обязательно.

Note-icon.gif

В документации Cisco указано, что OSPF должен быть включен для внешней сети соседа.

Однако, в данной топологии все маршруты корректно передаются и без указания этой сети. Возможно, это может проявиться в более сложных топологиях. Тогда надо будет попробовать задать маршрут для внешней сети соседа:

asa1(config-router)# network 192.168.2.0 255.255.255.0 area 0

[править] Настройка IPSec на ASA

  1. Настройка ISAKMP
    1. Включить ISAKMP
    2. Создать ISAKMP Policy
  2. Создать туннельную группу
  3. Настроить правило NAT 0 (настроено выше)
  4. Crypto map
    1. Создать transform set
    2. Создать ACL (указать какой трафик шифровать)
    3. Настройка crypto map
    4. Применить crypto map

[править] Настройка ISAKMP

Включение ISAKMP:

asa1(config)# crypto isakmp enable outside

Настройка ISAKMP identity. Будет использоваться IP-адрес интерфейса, который используется для коммуникаций с удаленной стороной во время работы IKE:

asa1(config)# crypto isakmp identity address 

Настройка политики ISAKMP:

asa1(config)# crypto isakmp policy 10
asa1(config-isakmp-policy)# authentication pre-share
asa1(config-isakmp-policy)# encryption des
asa1(config-isakmp-policy)# hash md5
asa1(config-isakmp-policy)# group 2

[править] Туннельная группа

Создание туннельной группы:

asa1(config)# tunnel-group 192.168.2.1 type ipsec-l2l
asa1(config)# tunnel-group 192.168.2.1 ipsec-attributes
asa1(config-tunnel-ipsec)# pre-shared-key xguru

[править] Crypto map

Создание transform set trset:

asa1(config)# crypto ipsec transform-set trset esp-des esp-sha-hmac

ACL, который указывает какой трафик шифровать (на ASA2 должен быть настроен зеркальный ACL):

asa1(config)# access-list ipsec extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 

В этот же ACL необходимо добавить строку, которая указывает, что пакеты OSPF, идущие с outside интерфейса к соседу 192.168.2.1, надо шифровать:

asa1(config)# access-list ipsec extended permit ospf interface outside host 192.168.2.1 

Настройка crypto map:

asa1(config)# crypto map outmap 10 match address ipsec
asa1(config)# crypto map outmap 10 set peer 192.168.2.1 
asa1(config)# crypto map outmap 10 set transform-set trset
asa1(config)# crypto map outmap interface outside

Применение crypto map outmap на интерфейсе outside:

asa1(config)# crypto map outmap interface outside

[править] Проверка доступности сетей

Проверка доступности сетей офиса 2 с коммутатора sw1:

sw1#ping 10.2.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
sw1#ping 10.2.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

[править] Проверка работы IPsec

Информация об ISAKMP SA на ASA1:

asa1(config)# show crypto isakmp sa 

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.2.1
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 

Информация об ISAKMP SA на ASA2:

asa2(config)# show crypto isakmp sa 

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.1.1
    Type    : L2L             Role    : responder 
    Rekey   : no              State   : MM_ACTIVE 


Более подробная информация об ISAKMP SA (алгоритм шифрования, время жизни и др.):

asa1(config)# show crypto isakmp sa detail 

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 192.168.2.1
    Type    : L2L             Role    : initiator 
    Rekey   : no              State   : MM_ACTIVE 
    Encrypt : des             Hash    : MD5       
    Auth    : preshared       Lifetime: 86400
    Lifetime Remaining: 82505

Суммарная информация об установленных IPsec SA:

asa1(config)# show crypto ipsec sa summary 

Current IPSec SA's:            Peak IPSec SA's:
IPSec            :     2         Peak Concurrent SA  :     6
IPSec over UDP   :     0         Peak Concurrent L2L :     6
IPSec over NAT-T :     0         Peak Concurrent RA  :     0
IPSec over TCP   :     0
IPSec VPN LB     :     0
Total            :     2

Более подробная информация об установленных IPsec SA:

asa1(config)# show crypto ipsec sa
interface: outside
    Crypto map tag: outmap, seq num: 10, local addr: 192.168.1.1

      access-list ipsec permit ospf interface outside host 192.168.2.1 
      local ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/89/0)
      remote ident (addr/mask/prot/port): (192.168.2.1/255.255.255.255/89/0)
      current_peer: 192.168.2.1

      #pkts encaps: 426, #pkts encrypt: 426, #pkts digest: 426
      #pkts decaps: 425, #pkts decrypt: 425, #pkts verify: 425
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 426, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 192.168.1.1, remote crypto endpt.: 192.168.2.1

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: B0168189

    inbound esp sas:
      spi: 0x31D34B4D (835930957)
         transform: esp-des esp-sha-hmac none 
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 36864, crypto-map: outmap
         sa timing: remaining key lifetime (kB/sec): (3824971/24706)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0xB0168189 (2954264969)
         transform: esp-des esp-sha-hmac none 
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 36864, crypto-map: outmap
         sa timing: remaining key lifetime (kB/sec): (3824971/24706)
         IV size: 8 bytes
         replay detection support: Y

[править] Проверка работы OSPF

Таблица маршрутизации на коммутаторе sw1:

sw1#show ip route

Gateway of last resort is 10.1.2.1 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O       10.2.1.1/32 [110/22] via 10.1.2.1, 01:10:59, Vlan1
C       10.1.2.0/24 is directly connected, Vlan1
O       10.2.2.0/24 [110/21] via 10.1.2.1, 01:10:59, Vlan1
C       10.1.1.0/24 is directly connected, Loopback0
O    192.168.1.0/24 [110/11] via 10.1.2.1, 01:10:59, Vlan1
O    192.168.2.0/24 [110/21] via 10.1.2.1, 01:10:59, Vlan1
S*   0.0.0.0/0 [1/0] via 10.1.2.1

Таблица маршрутизации на коммутаторе sw2:

sw2#show ip route

Gateway of last resort is 10.2.2.1 to network 0.0.0.0

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C       10.2.1.0/24 is directly connected, Loopback0
O       10.1.2.0/24 [110/21] via 10.2.2.1, 01:11:34, Vlan1
C       10.2.2.0/24 is directly connected, Vlan1
O       10.1.1.1/32 [110/22] via 10.2.2.1, 01:11:34, Vlan1
O    192.168.1.0/24 [110/21] via 10.2.2.1, 01:11:34, Vlan1
O    192.168.2.0/24 [110/11] via 10.2.2.1, 01:11:34, Vlan1
S*   0.0.0.0/0 [1/0] via 10.2.2.1

Таблица маршрутизации на ASA1:

asa1(config)# show route

Gateway of last resort is 192.168.1.2 to network 0.0.0.0

C    127.0.0.0 255.255.0.0 is directly connected, cplane
O    10.2.1.1 255.255.255.255 [110/21] via 192.168.2.1, 0:01:44, outside
C    10.1.2.0 255.255.255.0 is directly connected, inside
O    10.2.2.0 255.255.255.0 [110/20] via 192.168.2.1, 0:01:44, outside
O    10.1.1.1 255.255.255.255 [110/11] via 10.1.2.2, 0:01:44, inside
C    192.168.1.0 255.255.255.0 is directly connected, outside
O    192.168.2.0 255.255.255.0 [110/20] via 192.168.2.1, 0:01:44, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.2, outside

Таблица маршрутизации на ASA2:

asa2(config)# show route

Gateway of last resort is 192.168.2.2 to network 0.0.0.0

C    127.0.0.0 255.255.0.0 is directly connected, cplane
O    10.2.1.1 255.255.255.255 [110/11] via 10.2.2.2, 0:02:24, inside
O    10.1.2.0 255.255.255.0 [110/20] via 192.168.1.1, 0:02:24, outside
C    10.2.2.0 255.255.255.0 is directly connected, inside
O    10.1.1.1 255.255.255.255 [110/21] via 192.168.1.1, 0:02:24, outside
O    192.168.1.0 255.255.255.0 [110/20] via 192.168.1.1, 0:02:24, outside
C    192.168.2.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.2.2, outside

Соседи OSPF на ASA1:

asa1(config)# show ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
192.168.2.1       1   FULL/  -        0:00:31     192.168.2.1     outside
10.1.1.1          1   FULL/DR         0:00:34     10.1.2.2        inside
asa1(config)# 

Информация о настройках OSPF на интерфейсе outside:

asa1(config)# show ospf interface outside 

outside is up, line protocol is up  
  Internet Address 192.168.1.1 mask 255.255.255.0, Area 0 
  Process ID 1, Router ID 192.168.1.1, Network Type POINT_TO_POINT, Cost: 10
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 0:00:09
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 2
  Last flood scan time is 0 msec, maximum is 0 msec
  Neighbor Count is 1, Adjacent neighbor count is 1 
    Adjacent with neighbor 192.168.2.1
  Suppress hello for 0 neighbor(s)

[править] Ограничения решения

Ограничения решения:

  • Через один интерфейс можно установить отношения соседства только с одним соседом. Как следствие — такая схема будет работать только для связи с одним офисом.
  • Такая схема будет работать только между двумя ASA'ми (или между PIX и ASA), но не между маршрутизатором и ASA. В IOS нельзя установить отношения соседства OSPF, если сосед находится не в непосредственно присоединенной сети.

[править] Конфигурационные файлы

[править] sw1

sw1#sh run
Building configuration...

Current configuration : 2475 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sw1
!
!
no aaa new-model
ip subnet-zero
ip routing
!
!
!
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/1
 switchport mode dynamic desirable
!
interface Vlan1
 ip address 10.1.2.2 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 10.1.2.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.2.1
ip http server
ip http secure-server

[править] sw2

Building configuration...

Current configuration : 1707 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sw2
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
!
!
!
!
!
!
interface Loopback0
 ip address 10.2.1.1 255.255.255.0
!
interface FastEthernet0/1
!
interface FastEthernet0/2

interface Vlan1
 ip address 10.2.2.2 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 10.2.1.0 0.0.0.255 area 0
 network 10.2.2.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.2.2.1
ip http server
ip http secure-server

[править] ASA1

: Saved
:
ASA Version 8.0(2) 
!
hostname asa1
enable password 8Ry2YjIyt7RRXU24 encrypted
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0 
 ospf network point-to-point non-broadcast
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.1.2.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
!
interface Management0/0
 nameif management
 security-level 100
 no ip address
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nat_0 extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 
access-list ipsec extended permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0 
access-list ipsec extended permit ospf interface outside host 192.168.2.1 
pager lines 24
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nat_0
nat (inside) 1 10.1.0.0 255.255.0.0
!
router ospf 1
 network 10.1.2.0 255.255.255.0 area 0
 network 192.168.1.0 255.255.255.0 area 0
 neighbor 192.168.2.1 interface outside
 log-adj-changes
!
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
route outside 192.168.2.1 255.255.255.255 192.168.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set trset esp-des esp-sha-hmac 
crypto map outmap 10 match address ipsec
crypto map outmap 10 set peer 192.168.2.1 
crypto map outmap 10 set transform-set trset
crypto map outmap interface outside
crypto isakmp identity address 
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
class-map inspection_default
 match default-inspection-traffic
!             
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
 pre-shared-key *
prompt hostname context 
Cryptochecksum:c3e4fb53525eca1b2aa399b120521953
: end

[править] ASA2

: Saved
:
ASA Version 8.0(2) 
!
hostname asa2
enable password 8Ry2YjIyt7RRXU24 encrypted
no names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 192.168.2.1 255.255.255.0 
 ospf network point-to-point non-broadcast
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!

interface Management0/0
 nameif management
 security-level 100
 no ip address
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list nat_0 extended permit ip 10.2.0.0 255.255.0.0 10.1.0.0 255.255.0.0 
access-list ipsec extended permit ip 10.2.0.0 255.255.0.0 10.1.0.0 255.255.0.0 
access-list ipsec extended permit ospf interface outside host 192.168.1.1 
pager lines 24
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nat_0
nat (inside) 1 10.2.0.0 255.255.0.0
!
router ospf 1
 network 10.2.2.0 255.255.255.0 area 0
 network 192.168.2.0 255.255.255.0 area 0
 neighbor 192.168.1.1 interface outside
 log-adj-changes
!
route outside 0.0.0.0 0.0.0.0 192.168.2.2 1
route outside 192.168.1.1 255.255.255.255 192.168.2.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set trset esp-des esp-sha-hmac 
crypto map outmap 10 match address ipsec
crypto map outmap 10 set peer 192.168.1.1 
crypto map outmap 10 set transform-set trset
crypto map outmap interface outside
crypto isakmp identity address 
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!             
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
tunnel-group 192.168.1.1 type ipsec-l2l
tunnel-group 192.168.1.1 ipsec-attributes
 pre-shared-key *
prompt hostname context 
Cryptochecksum:e9a7497d6007d8ef0b2d3d13fa7615bf
: end
asa2(config)# 

[править] router

interface FastEthernet0/0
 ip address 192.168.2.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto

[править] Дополнительная информация

  • VPN/IPsec with OSPF Configuration Example (англ.) — пример решения аналогичной задачи на сайте Cisco. Кроме того, на указанной странице описано как настроить ASA через ASDM. Некоторые настройки, которые указаны в документации Cisco, на этой странице не используются. По тексту есть ссылки на то, какие настройки из рекомендованных Cisco, были опущены. Возможно, некоторые из них будут обязательными в более сложной топологии.


[править] Материалы по IPsec на xgu.ru