Назад | Перейти на главную страницу

Cisco ASA - запуск VPN-туннеля вручную

Можно ли с помощью cisco ASA вручную подключить VPN-туннель LAN к LAN и SA с устройства вместо того, чтобы одна из систем, которая является частью инициируемого трафика VPN, запускала VPN?

Я бы хотел избежать необходимости запускать пинг в одной из систем в VPN для запуска VPN, чтобы устранить неполадки немного быстрее.

В ОС Cisco ASA7.0 или выше вы можете установить туннель, моделируя интересный трафик с помощью packet-tracer команда. Вот пример - подставьте IP-адреса из ваших сетей:

packet-tracer input inside tcp 10.100.0.50 1250 10.200.0.100 80
      Source Interface^     | Src IP^  Src Port    |          |
                    Protocol^                Dst IP^  Dst Port^

Вы можете использовать выходные данные команды, чтобы помочь диагностировать любые проблемы, объясняющие, почему трафик не прошел успешно, но сама команда фактически стимулирует VPN и устанавливает как ISAKMP, так и IPSec sa.

Вы должны представить ASA "интересный трафик". Нет команды, которая открыла бы туннель без трафика.

Поддерживаю совет Ингулдына.

На маршрутизаторе серии ISR вы можете протестировать VPN, заставив маршрутизатор генерировать трафик для вас, но на платформе ASA такой возможности нет.

Используя 8.4+, мы просто добавили NTP-сервер Meinberg Windows для сетевого времени на принимающей стороне туннеля и добавили его в конфигурацию удаленного ASA:

ntp server xxx.xxx.xxx.xxx источник внутри предпочитаю

(где xxx.xxx.xxx.xxx - это IP-адрес сервера ntp), который поддерживает работу наших туннелей на неопределенный срок из-за того, что NTP генерирует интересный трафик прямо на удаленном ASA 5505.

ping внутри «ip-адреса на другом конце туннеля». Внутренний интерфейс должен быть в домене шифрования.

Для этого требуется, чтобы команда интерфейса управления была установлена ​​на внутренний интерфейс - например, «интерфейс управления внутри».

Допустим, у вас есть несколько сопоставлений интерфейсов в вашем VPN-туннеле на другой конец. Чтобы протестировать каждый из них, сделайте следующее - если вы хотите протестировать в качестве примера из интерфейса управления dmz interface dmz ping dmz a.b.c.d, где a.b.c.d находится на другом конце конечной точки туннеля.

Проверено на ASA v.8.3 - ASA 8.2.

Между прочим, если у вас есть несколько сетевых сопоставлений в одном криптографическом ACL, не используйте set reverse-route для записи криптокарты. Это может вызвать проблемы с тем, как ASA использует криптографический ACL для создания новых сопоставлений туннелей.