URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23701
[ Назад ]

Исходное сообщение
"Failover IPSec между SRX240 и ASA 5520"

Отправлено Labus , 13-Апр-12 17:09 
Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520.

Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей.

Со стороны ASA вроде как понятно (если не прав, то поправьте):

access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0
access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
crypto map RTP 1 match address IPSEC-tunnel
crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y
crypto map RTP 1 set transform-set 3des-sha des-sha
crypto map RTP interface outside
crypto isakmp identity address
crypto isakmp enable outside
tunnel-group X.X.X.X type ipsec-l2l
tunnel-group X.X.X.X ipsec-attributes
pre-shared-key *****
tunnel-group Y.Y.Y.Y type ipsec-l2l
tunnel-group Y.Y.Y.Y ipsec-attributes
pre-shared-key *****

А вот со стороны SRX понятно не все.

interfaces {
    ge-0/0/0 {
        description ISP1;
        unit 0 {
            family inet {
                address X.X.X.X/30;
            }
        }
    }
    ge-0/0/1 {
        description ISP2;
        unit 0 {
            family inet {
                address Y.Y.Y.Y/27;
            }
        }
    }
   st0 {
        unit 0 {
            family inet;
        }
        unit 1 {
            family inet;
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 {
            next-hop I.S.P.1;
            qualified-next-hop I.S.P.2 {
                preference 100;
            }
            preference 50;
        }
        Сюда вроде как тоже вписывать маршруты для IPSec сетей и заворачивать их в st0.0 и st0.1?
    }
}
security {
    ike {
        proposal IKE_3DES_SHA {
        ............
        }
        policy IKE_POLICY1 {
        ............
        }
        gateway PEER-ASA5520-1 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/0.0;
        }
        gateway PEER-ASA5520-2 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/1.0;
        }
    }
    ipsec {
        proposal IPSEC_3DES-SHA {
        ........        
        }
        policy IPSEC_POLICY1 {
            proposals IPSEC_3DES-SHA;
        }
        vpn ASA-VPN-1 {
            bind-interface st0.0;
            ike {
                gateway IPEER-ASA5520-1;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                service any;
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
        vpn ASA-VPN-SPB-2 {
            bind-interface st0.1;
            ike {
                gateway ASA-PEER-ASA5520-2;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
    }

Помогите с SRX пожалуйста.


Содержание

Сообщения в этом обсуждении
"Failover IPSec между SRX240 и ASA 5520"
Отправлено Port22 , 13-Апр-12 23:43 
Привет,

такие вопросы лучше задавать на nag.ru


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Aleks305 , 14-Апр-12 22:16 
> Привет,
> такие вопросы лучше задавать на nag.ru

мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Labus , 16-Апр-12 09:57 
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA

  Это можно решить через policy-based?


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Pve1 , 16-Апр-12 10:45 
>> Привет,
>> такие вопросы лучше задавать на nag.ru
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASA

А разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Aleks305 , 16-Апр-12 14:28 
>>> Привет,
>>> такие вопросы лучше задавать на nag.ru
>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>> которых нет на ASA
> А разве на ASA в crypto map нельзя резервного пира прописать, разве
> нет? :)

ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Aleks305 , 16-Апр-12 14:29 
>>>> Привет,
>>>> такие вопросы лучше задавать на nag.ru
>>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>>> которых нет на ASA
>> А разве на ASA в crypto map нельзя резервного пира прописать, разве
>> нет? :)
> ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site -
> есть БОЛЬШИЕ сомнения

кстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)


"Failover IPSec между SRX240 и ASA 5520"
Отправлено Labus , 18-Апр-12 11:18 
> кстати, policy-based у меня так и не заработал между asa и juniper(правда
> не сильно может быть старался

Победил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-as...

Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-pr...

В итоге через policy-based удалось решить проблему.