forum.opennet.ru - "Failover IPSec между SRX240 и ASA 5520" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Failover IPSec между SRX240 и ASA 5520"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Failover IPSec между SRX240 и ASA 5520"	+/–
Сообщение от Labus (ok) on 13-Апр-12, 17:09
Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520. Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей. Со стороны ASA вроде как понятно (если не прав, то поправьте): access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0 access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0 crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac crypto map RTP 1 match address IPSEC-tunnel crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y crypto map RTP 1 set transform-set 3des-sha des-sha crypto map RTP interface outside crypto isakmp identity address crypto isakmp enable outside tunnel-group X.X.X.X type ipsec-l2l tunnel-group X.X.X.X ipsec-attributes pre-shared-key *** tunnel-group Y.Y.Y.Y type ipsec-l2l tunnel-group Y.Y.Y.Y ipsec-attributes pre-shared-key *** А вот со стороны SRX понятно не все. interfaces { ge-0/0/0 { description ISP1; unit 0 { family inet { address X.X.X.X/30; } } } ge-0/0/1 { description ISP2; unit 0 { family inet { address Y.Y.Y.Y/27; } } } st0 { unit 0 { family inet; } unit 1 { family inet; } } } routing-options { static { route 0.0.0.0/0 { next-hop I.S.P.1; qualified-next-hop I.S.P.2 { preference 100; } preference 50; } Сюда вроде как тоже вписывать маршруты для IPSec сетей и заворачивать их в st0.0 и st0.1? } } security { ike { proposal IKE_3DES_SHA { ............ } policy IKE_POLICY1 { ............ } gateway PEER-ASA5520-1 { ike-policy IKE_POLICY1; address A.S.A.PEER; external-interface ge-0/0/0.0; } gateway PEER-ASA5520-2 { ike-policy IKE_POLICY1; address A.S.A.PEER; external-interface ge-0/0/1.0; } } ipsec { proposal IPSEC_3DES-SHA { ........ } policy IPSEC_POLICY1 { proposals IPSEC_3DES-SHA; } vpn ASA-VPN-1 { bind-interface st0.0; ike { gateway IPEER-ASA5520-1; proxy-identity { ЭМС, вот тут проблема. Как указать несколько сетей service any; } ipsec-policy IPSEC_POLICY1; } establish-tunnels immediately; } vpn ASA-VPN-SPB-2 { bind-interface st0.1; ike { gateway ASA-PEER-ASA5520-2; proxy-identity { ЭМС, вот тут проблема. Как указать несколько сетей } ipsec-policy IPSEC_POLICY1; } establish-tunnels immediately; } } Помогите с SRX пожалуйста.
Ответить \| Правка \| Cообщить модератору

Оглавление

Failover IPSec между SRX240 и ASA 5520, Port22, 23:43 , 13-Апр-12, (1)

Failover IPSec между SRX240 и ASA 5520, Aleks305, 22:16 , 14-Апр-12, (2)

Failover IPSec между SRX240 и ASA 5520, Labus, 09:57 , 16-Апр-12, (3)
Failover IPSec между SRX240 и ASA 5520, Pve1, 10:45 , 16-Апр-12, (4)

Failover IPSec между SRX240 и ASA 5520, Aleks305, 14:28 , 16-Апр-12, (5)

Failover IPSec между SRX240 и ASA 5520, Aleks305, 14:29 , 16-Апр-12, (6)

Failover IPSec между SRX240 и ASA 5520, Labus, 11:18 , 18-Апр-12, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Port22 on 13-Апр-12, 23:43

Привет,
такие вопросы лучше задавать на nag.ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Aleks305 (ok) on 14-Апр-12, 22:16

> Привет,
> такие вопросы лучше задавать на nag.ru
мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Labus (ok) on 16-Апр-12, 09:57

> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA
Это можно решить через policy-based?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Pve1 (ok) on 16-Апр-12, 10:45

>> Привет,
>> такие вопросы лучше задавать на nag.ru
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA
А разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Aleks305 (ok) on 16-Апр-12, 14:28

>>> Привет,
>>> такие вопросы лучше задавать на nag.ru
>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>> которых нет на ASA
> А разве на ASA в crypto map нельзя резервного пира прописать, разве
> нет? :)
ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Aleks305 (ok) on 16-Апр-12, 14:29

>>>> Привет,
>>>> такие вопросы лучше задавать на nag.ru
>>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>>> которых нет на ASA
>> А разве на ASA в crypto map нельзя резервного пира прописать, разве
>> нет? :)
> ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site -
> есть БОЛЬШИЕ сомнения
кстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Failover IPSec между SRX240 и ASA 5520" +/–

Сообщение от Labus (ok) on 18-Апр-12, 11:18

> кстати, policy-based у меня так и не заработал между asa и juniper(правда
> не сильно может быть старался
Победил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-as...
Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-pr...
В итоге через policy-based удалось решить проблему.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Failover IPSec между SRX240 и ASA 5520"	+/–
Сообщение от Port22 on 13-Апр-12, 23:43
Привет, такие вопросы лучше задавать на nag.ru
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Aleks305 (ok) on 14-Апр-12, 22:16
	> Привет, > такие вопросы лучше задавать на nag.ru мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Labus (ok) on 16-Апр-12, 09:57
	> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, > которых нет на ASA Это можно решить через policy-based?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Pve1 (ok) on 16-Апр-12, 10:45
	>> Привет, >> такие вопросы лучше задавать на nag.ru > мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, > которых нет на ASA А разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Aleks305 (ok) on 16-Апр-12, 14:28
	>>> Привет, >>> такие вопросы лучше задавать на nag.ru >> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, >> которых нет на ASA > А разве на ASA в crypto map нельзя резервного пира прописать, разве > нет? :) ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Aleks305 (ok) on 16-Апр-12, 14:29
	>>>> Привет, >>>> такие вопросы лучше задавать на nag.ru >>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, >>> которых нет на ASA >> А разве на ASA в crypto map нельзя резервного пира прописать, разве >> нет? :) > ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - > есть БОЛЬШИЕ сомнения кстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Failover IPSec между SRX240 и ASA 5520"	+/–
	Сообщение от Labus (ok) on 18-Апр-12, 11:18
	> кстати, policy-based у меня так и не заработал между asa и juniper(правда > не сильно может быть старался Победил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-as... Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-pr... В итоге через policy-based удалось решить проблему.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору