отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

Community Live

1063
Просмотры
10
Полезный материал
6
Ответы
Dmitry Milekhin
Beginner

Трафик ESP через ASA

Необходимо пропустить трафик  ESP (Protocol 50) через Cisco ASA 5510. Необходимо ли вносить дополнительные настройки на ASA, чтобы пропускать данный вид трафика?

Спасибо!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

Просмотреть решение в исходном сообщении

6 ОТВЕТ 6
Ivan Krimmel
Rising star

Дмитрий,

если между интерфейсами ASA происходит фильтрация, то трафик ESP, как и любой другой, нужно разрешать явно.

Иван, спасибо за ответ!

Между интерфейсами сейчас нет фильтрации и они имеют одинаковый security-level:

interface Ethernet0/0.51

vlan 51

nameif name

security-level 100

ip address х.х.х.х х.х.х.х

interface Ethernet0/3.21

vlan 21

nameif name2

security-level 100

ip address y.y.y.y y.y.y.y

В таком случае ESP-трафик будет проходить между этими интерфейсами?

Попутно читал(но, может быть, не так понял), что нужно дописывать:

inspect ipsec-pass-thru

Это так?

Спасибо!

Дмитрий,

для случаев, когда интерфейсы PIX/ASA имеют одинаковый security-level, нужна команда:

same-security-traffic

читая этот документ я понял, что сия команда используется в паре с MPF, то есть когда у нас есть инспекция траффика, что отнюдь не обязательно. Хотя это и удобно, но можно также разрешить ESP явно.

С уважением,

Иван.

Просмотреть решение в исходном сообщении

Спасибо, Иван!

Трафик пошел после ввода

inspect ipsec-pass-thru

при уже существовавшей  команде

same-security-traffic.

Проблема решена!

Дмитрий, рад был помочь!

Я всё же думаю, что в нынешнем софте MPF включён по умолчанию(к примеру, чтобы ходили пинги нужно включать 'inspect icmp'), поэтому и 'inspect ipsec-pass-thru' требует быть включённым.

С уважением,

Иван.

Иван, MPF включен, но включена по-умолчанию инспекция не всех протоколов. Так inspect ipsec-pass-thru не включен по-умолчанию, по крайней мере в 8.4

Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу