Mam pytanko z seri "dobrych praktyk".
Mam ustwione L2L pomiedzy wieloma VLANami gdzie po jednej stronie mam jedna ASA-A a po drogiej dwa ASA-B i ASA-C (ktore ida do switcha CORE na ktorym sa Vlanki 172.30.... i z PBR rozchodza sie jedne do ASA-B inne do ASA-C) No i wszsytko dziala, ale mam dla kazdej subnet A z subnet B czy C osobne "tunel-group" i "crypto map 1..2..3..."
Kod: Zaznacz cały
::Po lewej
ASA-A 192.168.10.0 /24, 192.168.20.0 /24, 192.168.30.0 /24 ...
::Po prawej
ASA-B 172.16.10.0 /24, 172.16.30.0 /24 ....
ASA-C 172.16.20.0 /24, 172.16.40.0 /24 ...
Jak na to patrze to przy kojelnym tunelu zaczynam miec stasznie tego duzo, i czy nie prosciej by bylo zrobic tunel dla 192.168.0.0 /16 z
obj-172.16.ASA-B (gdzie network obiekt zawieral by subnets podsieci ktore ida przez ASA-B 172.16.10.0 /24, 172.16.30.0 /24 ....) i z
obj-172.16.ASA-C (i tu subnets ktore ida przez ASA-C 172.16.20.0 /24, 172.16.40.0 /24 ...)
potem aclke na ASA-A
Kod: Zaznacz cały
access-list VPN-A_B extended permit ip object obj-192.168.0.0 object obj-172.16.ASA-B
Kod: Zaznacz cały
access-list ACL-VPN-A_B-filter extended
1 permit ip 192.168.10.0 255.255.255.0 172.16.10.0 255.255.255.255
2 permit ip 192.168.10.0 255.255.255.0 172.16.30.0 255.255.255.255
3 permit ip 192.168.20.0 255.255.255.0 172.16.10.0 255.255.255.255
4 permit ip 192.168.20.0 255.255.255.0 172.16.30.0 255.255.255.255
...
group-policy GroupPolicy_B.B.B.B internal
group-policy GroupPolicy_B.B.B.B attributes
vpn-filter value ACL-VPN-A_B-filter
tunnel-group B.B.B.B general-attributes
default-group-policy GroupPolicy_B.B.B.B
...
crypto map outside_map 1 match address VPN-A_B
crypto map outside_map 1 match address
crypto map outside_map 1 set peer B.B.B.B
Kod: Zaznacz cały
access-list VPN-A_C extended permit ip object obj-192.168.0.0 object obj-172.16.ASA-C
...
access-list ACL-VPN-A_C-filter extended
1 permit ip 192.168.10.0 255.255.255.0 172.16.20.0 255.255.255.255
2 permit ip 192.168.10.0 255.255.255.0 172.16.40.0 255.255.255.255
3 permit ip 192.168.20.0 255.255.255.0 172.16.20.0 255.255.255.255
4 permit ip 192.168.20.0 255.255.255.0 172.16.40.0 255.255.255.255
...
group-policy GroupPolicy_C.C.C.C internal
group-policy GroupPolicy_C.C.C.C attributes
vpn-filter value ACL-VPN-A_C-filter
...
tunnel-group C.C.C.C general-attributes
default-group-policy GroupPolicy_C.C.C.C
...
crypto map outside_map 2 match address VPN-A_C
crypto map outside_map 2 match address
crypto map outside_map 2 set peer C.C.C.C
Co jeszcze mnie zastanawia to uzycie dwoch peeer
Kod: Zaznacz cały
crypto map outside_map 1 set peer C.C.C.C