VPN L2L dla vlanow

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
ObiektywNy
wannabe
wannabe
Posty: 181
Rejestracja: 03 sty 2011, 19:43

VPN L2L dla vlanow

#1

#1 Post autor: ObiektywNy »

Witam
Mam pytanko z seri "dobrych praktyk".

Mam ustwione L2L pomiedzy wieloma VLANami gdzie po jednej stronie mam jedna ASA-A a po drogiej dwa ASA-B i ASA-C (ktore ida do switcha CORE na ktorym sa Vlanki 172.30.... i z PBR rozchodza sie jedne do ASA-B inne do ASA-C) No i wszsytko dziala, ale mam dla kazdej subnet A z subnet B czy C osobne "tunel-group" i "crypto map 1..2..3..."

Kod: Zaznacz cały

::Po lewej 
ASA-A 192.168.10.0 /24, 192.168.20.0 /24, 192.168.30.0 /24 ...

::Po prawej 
ASA-B 172.16.10.0 /24, 172.16.30.0 /24 ....
ASA-C 172.16.20.0 /24, 172.16.40.0 /24 ...
Mysle by to wszsytko troche zredukowac zamiast wpisywac regolek dla kazdego VLan zrobic zamiast np 4 rech wpisow na ASA_A ztobic tylko dwa dla kasdego ASA_B i ASA_C

Jak na to patrze to przy kojelnym tunelu zaczynam miec stasznie tego duzo, i czy nie prosciej by bylo zrobic tunel dla 192.168.0.0 /16 z
obj-172.16.ASA-B (gdzie network obiekt zawieral by subnets podsieci ktore ida przez ASA-B 172.16.10.0 /24, 172.16.30.0 /24 ....) i z
obj-172.16.ASA-C (i tu subnets ktore ida przez ASA-C 172.16.20.0 /24, 172.16.40.0 /24 ...)

potem aclke na ASA-A

Kod: Zaznacz cały

access-list VPN-A_B  extended permit ip object obj-192.168.0.0  object obj-172.16.ASA-B
potem komunikacje przymknac ACLka filtrujaca

Kod: Zaznacz cały

access-list ACL-VPN-A_B-filter extended 
1 permit ip 192.168.10.0 255.255.255.0 172.16.10.0 255.255.255.255
2 permit ip 192.168.10.0 255.255.255.0 172.16.30.0 255.255.255.255
3 permit ip 192.168.20.0 255.255.255.0 172.16.10.0 255.255.255.255
4 permit ip 192.168.20.0 255.255.255.0 172.16.30.0 255.255.255.255
...
group-policy GroupPolicy_B.B.B.B internal
group-policy GroupPolicy_B.B.B.B attributes
 vpn-filter value ACL-VPN-A_B-filter

tunnel-group B.B.B.B general-attributes
 default-group-policy GroupPolicy_B.B.B.B
...
crypto map outside_map 1 match address VPN-A_B
crypto map outside_map 1 match address 
crypto map outside_map 1 set  peer  B.B.B.B
i dla ASA_C

Kod: Zaznacz cały

access-list VPN-A_C  extended permit ip object obj-192.168.0.0  object obj-172.16.ASA-C
...
access-list ACL-VPN-A_C-filter extended 
1 permit ip 192.168.10.0 255.255.255.0 172.16.20.0 255.255.255.255
2 permit ip 192.168.10.0 255.255.255.0 172.16.40.0 255.255.255.255
3 permit ip 192.168.20.0 255.255.255.0 172.16.20.0 255.255.255.255
4 permit ip 192.168.20.0 255.255.255.0 172.16.40.0 255.255.255.255
...
group-policy GroupPolicy_C.C.C.C internal
group-policy GroupPolicy_C.C.C.C attributes
 vpn-filter value ACL-VPN-A_C-filter
...
tunnel-group C.C.C.C general-attributes
 default-group-policy GroupPolicy_C.C.C.C
...
crypto map outside_map 2 match address VPN-A_C
crypto map outside_map 2 match address 
crypto map outside_map 2 set  peer  C.C.C.C
Powyzsza konfiguracja jest oczywiscie tylko zalozeniem. Czy cos takigo by zaskoczylo?

Co jeszcze mnie zastanawia to uzycie dwoch peeer

Kod: Zaznacz cały

crypto map outside_map 1 set  peer C.C.C.C 
tylko nie za bardzo widze jak to mialo by dzialac.

ODPOWIEDZ