Замена удаленного узла из ASA на маршрутизатор IOS
-
Привет, @pschulz
Прежде всего, вам явно нужен более стабильный код, поэтому я бы также выполнил эту операцию в рамках процесса. Если вы все равно хотите перейти на IKEv2 и SVTI / маршрутизацию на основе VPN, почему бы не сделать это сейчас? Вы не потеряете доступ. Вы полностью настраиваете удаленный конец для IKEv2 SVTI и маршрутизации (туннель не будет создан, так как локальная сторона еще не настроена), после чего вы настраиваете локальную сторону, создается новый туннель на основе IKEv2, вы проверяете его работоспособность и удаляете старую конфигурацию IKEv1. Настройка удаленного конца ни в коем случае не должна привести к потере доступа к устройству; для безопасности, когда вы вставляете новую конфигурацию, работайте с
перезагрузкой
, если после вставки конфигурации вы не потеряли доступ, отмените запланированную перезагрузку. Не используйте маршрутизацию IKEv2, с самого начала используйте динамическую маршрутизацию; кроме того, используйте SVTI на обеих сторонах. Вы можете использовать следующие документы в качестве руководства. Если у вас возникнут затруднения, опубликуйте конфигурацию, которую вы хотите применить, чтобы мы могли ее проверить: https://www.cisco.com/c/en/us/support/docs/security-vpn/internet-security-association-key-management-protocol-isakmp/223291-implementing-ikev2-route-based-site-to.html https://www.cisco.com/c/en/us/support/docs/routers/enterprise-nfv-infrastructure-software/221678-configure-secure-overlay-with-bgp-route.html https://www.cisco.com/c/en/us/support/docs/security/flexvpn/116346-configure-eigrp-00.html Спасибо, Кристиан. -
Как насчет присвоить новые IP-адреса и настроить новую пару ISAKMP-узлов?
-
@kiwibird
Использование новых IP-адресов на обоих концах и настройка новой пары ISAKMP — безусловно, хорошая идея. Однако тогда у меня возникнет проблема: я не смогу настроить 2 SA с одинаковым интересным трафиком — у меня нет отдельного внеполосного соединения для управления, и мне придется настраивать удаленный узел через это SA. Я не вижу, как обойти это препятствие — было бы лучше, если бы я мог просто запустить его, выполнив вышеуказанные шаги. -
Насколько я помню, вы упомянули, что у вас есть 2 пары IPsec. Находятся ли эти удаленные устройства в одном месте? Давайте предположим, что VPN удаленного устройства A работает, а удаленного устройства B — нет. Можете ли вы просто подключиться к устройству A, а затем перейти с него на устройство B?
-
Здравствуйте
[, @pschulz] Измените IP-адрес, что приведет к полному перезапуску переговоров и позволит избежать всех устаревших состояний SPI/IKE на удаленном 4451... без необходимости очистки или перезагрузки... С уважением
.ı|ı.ı|ı. Если это помогло, пожалуйста, оцените.ı|ı.ı|ı. -
-
Здравствуйте, @pschulz
Предоставленных данных недостаточно, чтобы убедиться, что конфигурация подходит для обеих сторон. Сообщение
Error(1): Failed to send delete, peer isn't authenticated
(Ошибка (1): не
удалось отправить
удаление, сосед не аутентифицирован) может потенциально указывать на проблему с конфигурацией. Можете ли вы поделиться очищенной конфигурацией обеих сторон? Однако более серьезной и, скорее всего, вашей проблемой, судя по трассировкам, является уровень шифрования контрольной плоскости, который никогда не следует игнорировать, даже если туннель заработает и будет временно функционировать, он может выйти из строя в любой момент, если вам повезет, без сбоя, а если нет, то со сбоем... Похоже, вы столкнулись с одной из этих ошибок или чем-то подобным, поэтому я настоятельно рекомендую в первую очередь обновить обе стороны до стабильной/золотой версии, например 17.9.8 или 17.12.6, а затем повторить попытку. https://bst.cisco.com/bugsearch/bug/CSCvv36247?rfs=qvlogin https://bst.cisco.com/bugsearch/bug/CSCvw38740?rfs=qvlogin Кроме того, я настоятельно рекомендую отказаться от IKEv1, так как со временем вы будете сталкиваться со все большим количеством проблем. Перейдите на IKEv2 и, почему бы и нет, на маршрутизированный IPsec-туннель, а не на IPsec на основе политик (вы ничего не потеряете, а наоборот, получите простоту и гибкость для возможных будущих сценариев высокой доступности и/или быстрого переключения при сбоях). Спасибо, Кристиан. -
@Cristian Matei
Конечно, мы хотим отказаться от IKEv1, но сначала давайте отключим старое устройство, по крайней мере, так я думаю. Если только я сначала не настрою IKEv2, и оно заработает? Я могу попробовать. И использовать VTI, да, это тоже нужно сделать. Если я создам отдельный канал с новыми IP-адресами и буду использовать VTI на новом, то интересный трафик будет обрабатываться маршрутами, которые, вероятно, будут иметь приоритет над ACL в моем старом маршруте. Как я упомянул в ответе kiwibird, я должен управлять удаленным устройством через этот VPN, поэтому у меня нет возможности легко настроить оба одновременно. -
@Cristian Matei
Спасибо за советы. Поскольку я не очень хорошо знаком с VTI, я делаю это в два этапа — настраиваю VTI на обоих концах, но для интересного трафика, не связанного с производственным трафиком. Это работает нормально, после чего я могу просто отключить свой локальный конец, перенастроить удаленный конец на производственный трафик, а затем свой локальный конец, как вы и сказали. -
Привет, @pschulz
Удачи, если возникнут проблемы, вернитесь, желательно с новой темой. Спасибо, Кристиан.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти