отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
901
Просмотры
5
Полезный материал
11
Ответы
Petr Stepanov
Beginner

crypto-map интерфейс outside

Всем привет, столкнулся с проблемой при падении одного интерфейса на ASA в связи с архитектурой - нет автоматического резерва.

Возможно ли командой crypto map outside interface поменять outside интерфейс для всех l2l туннелей?

 

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Да это возможно. А в чём проблема сразу сделать ещё одну криптомапу для другого интерфейса?

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

11 ОТВЕТ 11
Leonid Voronkin
VIP Collaborator

Честно говоря не понял ни сценарий ни вопрос.


столкнулся с проблемой при падении одного интерфейса на ASA в связи с архитектурой - нет автоматического резерва.

Поясните подробнее. Может именно с этим стоит попробовать разобраться.


Возможно ли командой crypto map outside interface поменять outside интерфейс для всех l2l туннелей?


Тут тоже не понял. Вы хотите тут поменять интерфейс outside на outside2 (например)? Ну естественно команда для всех туннелей поменяет интерфейс, они же все одной криптомапой формируются.


________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Да я имею ввиду поменять на outside2 к примеру таким образом быстро перевести все туннели l2l на другой интерфейс, это возможно? Ну и соответственно правила NAT так же необходимо будет поменять.

Да это возможно. А в чём проблема сразу сделать ещё одну криптомапу для другого интерфейса?

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

Проблема возможно в недостатке знаний/понимания архитектуры. Получается можно подготовить вторую crypto map и в случае падения основного интерфейса перевести все на неё ? Такой типо резерв получается?

Так вот поэтому я в первом ответе и порекомендовал вам разобраться сначала со структурой сети, понять что вы хотите получить и что у вас для этого есть. А потом уже настраивать. А вы не с той стороны начали

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Там интересная ситуация получается вся сеть в компании порядка 11 зданий построена на l2l туннелях на ASA (по 2 интерфейса outside на каждой), и при падении одного провайдера, что случается довольно часто бизнес встает полностью и необходимо быстро переключать все l2l туннели на другого провайдера, через asdm это делать часа 3, а через cli можно быстро перевести...

Во-первых, ASA для туннелирования между филиалами так себе железка. Для RA да, хороша, а как WAN девайс, конечно, это не то. 

Во-вторых, не понимаю откуда берётся проблема с простоем. Как у вас маршрутизация провайдеров настроена? Дефолт роут? А на второго провайдера флоатинг статик роут настроен? Или вы его тоже руками перебиваете при падении первого провайдера?

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Да по сути просто один провайдер и куча статических маршрутов в l2l туннели (архитектура звезда все маршруты из филиалов построены через ASA в дата центре) ни о какой floating static , или ip sla нет и речи. К сожалению пришлось столкнутся с такой топологией сети впервые, приходится перебивать руками.

Да по сути просто один провайдер


Я что-то совсем запутался. Если провайдер один, то на что вы переключаетесь при его падении? До этого вы писали что на каждой ASA по 2 интерфейса outside

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

По 2 интерфейса outside все верно, я имел ввиду, что без автоматического перехода на другого провайдера получается как будто 1 провайдер.

Понятно. Короче, вам нужно статикой прописать маршруты к IP ISP1 (на удалённой стороне) через ISP1 (на локальном устройстве) и IP ISP2 через ISP2. Это нужно чтобы можно было построить туннели. Вместо policy based VPN настроить Virtual Tunnel Interfaces.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-firewalls/212478-configure-asa-virtual-tunnel-interfaces.html

И через VTI tunnel уже можно динамическую маршрутизацию запустить. И будет вам счастье - никаких переписываний.

Ну и для дефолт роута флоутинг статик настройте.

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения