alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f6111628b0273f3b1035d2a59af4723ebcab46e5
fox/src/vdc/vdc-how-to/networks/ipsec/asav.md
T
Анисин Александр Александрович f6111628b0 Документация по настройке VPN #VEGA-6073
2025-12-15 10:11:41 +00:00

3.3 KiB
Raw Blame History

Настройка ASAv для IPsec VPN

::: info Примечание Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования. :::

1. Подключиться к ASAv

  1. Подключитесь к устройству ASAv через SSH или консоль.

  2. Перейдите в режим конфигурации.

    configure terminal

2. Настроить ACL для трафика VPN

Создайте ACL для трафика, который нужно отправлять в IPsec туннель:

access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0

3. Настроить IKE (фаза 1)

  1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:

    tunnel-group 193.3.230.4 type ipsec-l2l
tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX

  2. Задайте параметры первой фазы IKE:

    crypto ikev1 policy 1
   authentication pre-share
   encryption aes-256
   hash sha
   group 2
   lifetime 28800

4. Настроить IPsec и cryptomap (фаза 2)

  1. Определите алгоритмы шифрования для второй фазы:

    crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac

  2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:

    crypto map outsidemap 10 match address NSX-T-T1-VPN
crypto map outsidemap 10 set pfs
crypto map outsidemap 10 set peer 193.3.230.4
crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA

  3. Назначьте криптокарту на внешний интерфейс OUTSIDE:

    crypto map outsidemap interface OUTSIDE

  4. Включите IKEv1 на интерфейсе OUTSIDE:

    crypto ikev1 enable OUTSIDE

5. Настроить NAT для исключения трафика VPN

  1. Определите локальную сеть для VPN:

    object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0

  2. Определите удаленную сеть для VPN:

    object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0

  3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:

    nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE

6. Сохранить конфигурации

  1. Выйдите из режима конфигурации.

    end

  2. Сохраните конфигурацию.

    write memory

  3. Перезагрузите устройство.

Reference in New Issue View Git Blame Copy Permalink