IPsec VPN между Cisco ASA и Vigor3900/2960
ООО «Цифровой Ангел»
В этой статье рассказывается, как настроить туннель IPsec между CiscoASA и Vigor3900/2960. Сценарий состоит в том, что Vigor2960 имеет два интерфейса WAN и будет звонить Cisco через WAN2, когда WAN1 не работает.
В этом примере WAN1 устройства Vigor2960 имеет общедоступный IP-адрес 1.1.1.1, WAN2 — 2.2.2.2, а IP-адрес локальной подсети — 192.168.0.0/2. Cisco ASA 5515 имеет общедоступный IP-адрес глобальной сети 4.4.4.4 и IP-адрес локальной подсети 10.1.0.0/24.
Настройка Cisco в качестве VPN-сервера (Dial-In)
1. Используйте мастера VPN для создания профиля Site-to-site VPN для Vigor2960 Dial-In.
2. Укажите IP-адрес WAN1 Vigor2960 «1.1.1.1» в качестве IP-адреса узла.
3. Укажите локальную сеть и удаленную сеть.
4. Введите Pre-Shared Key
5. Снимите галочку с опции Exempt ASA side host/network from address translation.
6. Сводка этого профиля VPN будет отображаться следующим образом, включая принятый протокол IKE, политику IKE и предложение IPsec.
7. Перейдите в Crypto Maps и отредактируйте указанную Crypto Map, добавив (разрешив) второй одноранговый IP-адрес (это общедоступный IP-адрес WAN2 2.2.2.2 Vigor2960).
8. Теперь добавьте второе VPN-соединение с помощью мастера VPN. Используйте те же настройки, за исключением Peer Public IP. Теперь используйте 2.2.2.2 вместо 1.1.1.1.
9. После этого конфиг должен выглядеть примерно так, как показано ниже.
Настройка Vigor2960 в качестве VPN-клиента (Dial-Out)
10. Перейдите в раздел « VPN and Remote Access >> VPN Profile >> IPsec» и нажмите « Add» , чтобы создать новый профиль:
- На вкладке «Основные» введите Profile name и Enable this profile .
- Выберите «Always Dial-Out» для Auto Dial-Out
- Выберите wan1 для Dial-Out VPN Through .
- Выберите wan2 для Failover to
- Введите Local IP /Subnet Mask в качестве сети LAN на маршрутизаторе Vigor.
- Введите IP-адрес Cisco WAN в Remote Host
- Введите Remote IP/ Subnet Mask в качестве локальной сети Cisco.
- Выберите IKEv1
- Введите Pre-Shared Key.
11. На вкладке «Дополнительно» измените «Phase1 Key Lifetime» с 28800 с на 3600 с. (Поскольку в конфигурации Cisco VPN время жизни ключа фазы 1 составляет 3600 секунд.)
12. На вкладке «Proposal » выберите точное предложение, которое соответствует настройке предложения на Cisco. Нажмите Apply , чтобы сохранить профиль.
После завершения вышеуказанных конфигураций Vigor2960 будет автоматически подключаться к туннелю IPsec к Cisco через WAN1 и подключать его к Cisco через WAN2 в качестве аварийного переключения, когда WAN1 не работает.
Оборудование
-
от 72 027 ₽ руб.Без НДС
Оптовая цена по запросу
VPN шлюз и центральный межсетевой экран для обеспечения безопасности распределенных сетей и удаленных пользователей, 200 одновременных VPN туннелей.
На ваш e-mail было отправлено письмо с регистрационной информацией.
Пожалуйста, дождитесь письма, так как контрольная строка изменяется при каждом запросе.