Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520.Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей.
Со стороны ASA вроде как понятно (если не прав, то поправьте):
access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0
access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
crypto map RTP 1 match address IPSEC-tunnel
crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y
crypto map RTP 1 set transform-set 3des-sha des-sha
crypto map RTP interface outside
crypto isakmp identity address
crypto isakmp enable outside
tunnel-group X.X.X.X type ipsec-l2l
tunnel-group X.X.X.X ipsec-attributes
pre-shared-key *****
tunnel-group Y.Y.Y.Y type ipsec-l2l
tunnel-group Y.Y.Y.Y ipsec-attributes
pre-shared-key *****А вот со стороны SRX понятно не все.
interfaces {
ge-0/0/0 {
description ISP1;
unit 0 {
family inet {
address X.X.X.X/30;
}
}
}
ge-0/0/1 {
description ISP2;
unit 0 {
family inet {
address Y.Y.Y.Y/27;
}
}
}
st0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
}
}
}
routing-options {
static {
route 0.0.0.0/0 {
next-hop I.S.P.1;
qualified-next-hop I.S.P.2 {
preference 100;
}
preference 50;
}
Сюда вроде как тоже вписывать маршруты для IPSec сетей и заворачивать их в st0.0 и st0.1?
}
}
security {
ike {
proposal IKE_3DES_SHA {
............
}
policy IKE_POLICY1 {
............
}
gateway PEER-ASA5520-1 {
ike-policy IKE_POLICY1;
address A.S.A.PEER;
external-interface ge-0/0/0.0;
}
gateway PEER-ASA5520-2 {
ike-policy IKE_POLICY1;
address A.S.A.PEER;
external-interface ge-0/0/1.0;
}
}
ipsec {
proposal IPSEC_3DES-SHA {
........
}
policy IPSEC_POLICY1 {
proposals IPSEC_3DES-SHA;
}
vpn ASA-VPN-1 {
bind-interface st0.0;
ike {
gateway IPEER-ASA5520-1;
proxy-identity {
ЭМС, вот тут проблема. Как указать несколько сетей
service any;
}
ipsec-policy IPSEC_POLICY1;
}
establish-tunnels immediately;
}
vpn ASA-VPN-SPB-2 {
bind-interface st0.1;
ike {
gateway ASA-PEER-ASA5520-2;
proxy-identity {
ЭМС, вот тут проблема. Как указать несколько сетей
}
ipsec-policy IPSEC_POLICY1;
}
establish-tunnels immediately;
}
}Помогите с SRX пожалуйста.
Привет,такие вопросы лучше задавать на nag.ru
> Привет,
> такие вопросы лучше задавать на nag.ruмне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASAЭто можно решить через policy-based?
>> Привет,
>> такие вопросы лучше задавать на nag.ru
> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
> которых нет на ASAА разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)
>>> Привет,
>>> такие вопросы лучше задавать на nag.ru
>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>> которых нет на ASA
> А разве на ASA в crypto map нельзя резервного пира прописать, разве
> нет? :)ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения
>>>> Привет,
>>>> такие вопросы лучше задавать на nag.ru
>>> мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей,
>>> которых нет на ASA
>> А разве на ASA в crypto map нельзя резервного пира прописать, разве
>> нет? :)
> ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site -
> есть БОЛЬШИЕ сомнениякстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)
> кстати, policy-based у меня так и не заработал между asa и juniper(правда
> не сильно может быть старалсяПобедил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-as...
Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-pr...
В итоге через policy-based удалось решить проблему.