Документация по настройке VPN #VEGA-6073
This commit is contained in:
Анисин Александр Александрович
committed by
Речкина Елена Валерьевна
Речкина Елена Валерьевна
parent
94bc0035d3
commit
f6111628b0
@@ -0,0 +1,110 @@
|
||||
# Настройка ASAv для IPsec VPN
|
||||
|
||||
<!--@include: ../about-adapters.md{7,14}-->
|
||||
|
||||
::: info Примечание
|
||||
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
|
||||
:::
|
||||
|
||||
## 1. Подключиться к ASAv
|
||||
|
||||
1. Подключитесь к устройству ASAv через SSH или консоль.
|
||||
|
||||
2. Перейдите в режим конфигурации.
|
||||
|
||||
```bash
|
||||
configure terminal
|
||||
```
|
||||
|
||||
## 2. Настроить ACL для трафика VPN
|
||||
|
||||
Создайте ACL для трафика, который нужно отправлять в IPsec туннель:
|
||||
|
||||
```bash
|
||||
access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
|
||||
```
|
||||
|
||||
## 3. Настроить IKE (фаза 1)
|
||||
|
||||
1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:
|
||||
|
||||
```bash
|
||||
tunnel-group 193.3.230.4 type ipsec-l2l
|
||||
tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX
|
||||
```
|
||||
|
||||
2. Задайте параметры первой фазы IKE:
|
||||
|
||||
```bash
|
||||
crypto ikev1 policy 1
|
||||
authentication pre-share
|
||||
encryption aes-256
|
||||
hash sha
|
||||
group 2
|
||||
lifetime 28800
|
||||
```
|
||||
|
||||
## 4. Настроить IPsec и cryptomap (фаза 2)
|
||||
|
||||
1. Определите алгоритмы шифрования для второй фазы:
|
||||
|
||||
```bash
|
||||
crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac
|
||||
```
|
||||
|
||||
2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:
|
||||
|
||||
```bash
|
||||
crypto map outsidemap 10 match address NSX-T-T1-VPN
|
||||
crypto map outsidemap 10 set pfs
|
||||
crypto map outsidemap 10 set peer 193.3.230.4
|
||||
crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA
|
||||
```
|
||||
|
||||
3. Назначьте криптокарту на внешний интерфейс OUTSIDE:
|
||||
|
||||
```bash
|
||||
crypto map outsidemap interface OUTSIDE
|
||||
```
|
||||
|
||||
4. Включите IKEv1 на интерфейсе OUTSIDE:
|
||||
|
||||
```bash
|
||||
crypto ikev1 enable OUTSIDE
|
||||
```
|
||||
|
||||
## 5. Настроить NAT для исключения трафика VPN
|
||||
|
||||
1. Определите локальную сеть для VPN:
|
||||
|
||||
```bash
|
||||
object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0
|
||||
```
|
||||
|
||||
2. Определите удаленную сеть для VPN:
|
||||
|
||||
```bash
|
||||
object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0
|
||||
```
|
||||
|
||||
3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:
|
||||
|
||||
```bash
|
||||
nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE
|
||||
```
|
||||
|
||||
## 6. Сохранить конфигурации
|
||||
|
||||
1. Выйдите из режима конфигурации.
|
||||
|
||||
```bash
|
||||
end
|
||||
```
|
||||
|
||||
2. Сохраните конфигурацию.
|
||||
|
||||
```bash
|
||||
write memory
|
||||
```
|
||||
|
||||
3. Перезагрузите устройство.
|
||||
Reference in New Issue
Block a user