Главное меню
Навигация
Настраиваем с нуля
Цикл статей Настройка Call Manager Express CUCME с нуля:
Цикл статей Настройка Call Manager CUCM с нуля:
Comunications Apps с нуля
UCCX
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 1
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 2
- Настройка Cisco Unified Contact Center Express (UCCX) с нуля. Часть 3
- Настройка UCCX 10.x, 11.x + Cisco Finesse desktop
- Установка скрипта для записи UCCX Prompts
CUC
- Настройка Cisco Unity Connection (CUC) с нуля. Часть 1
- Настройка Cisco Unity Connection (CUC) с нуля. Часть 2
CUP
- Настройка Cisco Unified Presence (CUP) с нуля. Теория
- Настройка Cisco Unified Presence (CUP) с нуля. Практика: Начальная установка
MediaSense
Настройка комплекта Cisco CUCM Business Edition 6000
- Настройка комплекта BE6000: Введение
- Настройка комплекта BE6000: Установка CUCM 11
- Настройка комплекта BE6000: Начальная установка CUC 11
- Настройка комплекта BE6000: Немного теории CUC 11
- Настройка комплекта BE6000: Настраиваем своего автосекретаря (IVR) в CUC 11
- Настройка комплекта BE6000: правильная Архивация CUCM 11.5
- Настройка комплекта BE6000: Восстановление CUCM 11.5 из архива
- Настройка комплекта BE6000: устанавливаем лицензии для телефонов CUCM 11.5
- Настройка комплекта BE6000: настройка конференции ad hoc CUCM 11.5
- Настройка комплекта BE6000: настройка конференции meet-me CUCM 11.5
- Настройка комплекта BE6000: настройка мониторинга комплекса CUCM 11.5
CUCM в крупном предприятии
- SRST. Теория (часть 1)
- SRST: Практика (Часть 2)
- Диалплан (dialplan) в крупной организации
- Cisco Device Mobility. Теория
- Cisco Device Mobility. Настройка
- Cisco Extension Mobility. Теория
- Cisco Extension Mobility. Настройка
- Call Control Discovery
- Настройка Multicast MOH Server на маршрутизаторах филиалов
- Cisco H.323 Gatekeeper. Теория
- Cisco H.323 Gatekeeper. Настройка и Практика
- Cisco H.323 Gatekeeper и Call Admission Control
- Практика подключения H.323 и SIP с использованием CUBE
- CUCM и LDAP Integration
DTMF и его настройка
Вы здесь
ASA и туннель GRE
чт, 02/10/2014 - 14:10 — vs
Как известно, ASA не поддерживает протокол GRE, поэтому для построения туннелей между офисами приходится использовать схему ASA+Router.
Самый интересный вопрос как лучше?
Схема 1
Данная схема подразумевает построение туннеля силами маршрутизатора, т.е. у маршрутизатора есть public ip address.
Схема рабочая.
Минус данной схемы в том, что и шифрование нужно делать также силами маршрутизатора, которое как известно запрещено в РФ.
Если делать всё по закону, см. схему2 либо покупай RVPN.
ASA и туннель GRE: конфиги
Схема 2
В данном случае туннель IPSec будет строиться силами движка ASA.
GRE в свою очередь будет строиться внутри туннеля IPSec.
STEP 1: Configure Interesting Traffic
msk-asa-01
access-list lo2-to-lo252 extended permit ip 10.255.255.2 255.255.255.255 10.255.255.252 255.255.255.255
asa1
access-list lo252-to-lo2 extended permit ip 10.255.255.252 255.255.255.255 10.255.255.2 255.255.255.255
NAT Exclusion for VPN Traffic
msk-asa-01
object network obj-local-lo2 host 10.255.255.2 ! object network obj-remote-lo252 host 10.255.255.252 ! nat (dmvpn,outside) 10 source static obj-local-lo2 obj-local-lo2 destination static obj-remote-lo252 obj-remote-lo252
asa1
object network obj-local-lo252 host 10.255.255.252 ! object network obj-remote-lo2 host 10.255.255.2 ! nat (dmvpn,outside) 10 source static obj-local-lo252 obj-local-lo252 destination static obj-remote-lo2 obj-remote-lo2
STEP 2: Configure Phase 1 (IKEv1 or ISAKMP)
msk-asa-01
crypto ikev1 policy 10 authentication pre-share encryption des hash sha group 2 lifetime 3600
crypto ikev1 enable outside crypto isakmp identity address
tunnel-group 62.105.149.229 type ipsec-l2l tunnel-group 62.105.149.229 ipsec-attributes ikev1 pre-shared-key tststrongkey
asa1
crypto ikev1 policy 10 authentication pre-share encryption des hash sha group 2 lifetime 3600
crypto ikev1 enable outside crypto isakmp identity address
tunnel-group 62.105.149.226 type ipsec-l2l tunnel-group 62.105.149.226 ipsec-attributes ikev1 pre-shared-key tststrongkey
STEP 3: Configure Phase 2 (IPSEc)
msk-asa-01
crypto ipsec ikev1 transform-set msk-asa-01TS esp-des esp-sha-hmac crypto map MSK-ASA-01VPN 10 match address lo2-to-lo252 crypto map MSK-ASA-01VPN 10 set peer 62.105.149.229 crypto map MSK-ASA-01VPN 10 set ikev1 transform-set msk-asa-01TS crypto map MSK-ASA-01VPN 10 set security-association lifetime seconds 3600 crypto map MSK-ASA-01VPN interface outside
asa1
crypto ipsec ikev1 transform-set asa1TS esp-des esp-sha-hmac crypto map ASA1VPN 10 match address lo252-to-lo2 crypto map ASA1VPN 10 set peer 62.105.149.226 crypto map ASA1VPN 10 set ikev1 transform-set asa1TS crypto map ASA1VPN 10 set security-association lifetime seconds 3600 crypto map ASA1VPN interface outside
Проверка
show crypto isakmp sa
show crypto ipsec sa
Работа с Eltex
UserGate с нуля
Security
- Cisco ISE с нуля: краткая теория (Часть 1)
- Cisco ISE с нуля: Установка ISE (Часть 2)
- Cisco ISE с нуля: Краткая теория о Authentication Policies и Authorization Policies (Часть 3)
- Cisco ISE с нуля: Wireless Authentication (Часть 4)
- Cisco ISE с нуля: Настройка Web Authentication, Guest WebAuth (Часть 5)
- Cisco ISE с нуля: настройка TACACS (часть 6)
Работа с ISE 3.2
Технологии VPN
- DMVPN и EIGRP
- DMVPN и резервный ISP
- Автопереключение между двумя провайдерами
- Подключение региональных офисов с серыми адресами по VPN
- Web VPN: подключение отовсюду
- Установка AnyConnect SSLVPN на IOS Router
- Работа с ASA Anyconnect SSL VPN HUB
- ASA и Wildcard certificate
- Настройка 3G/4G на Cisco ISR 1100 LTE 4g/3g Cellular
VoIP Voice Monitoring
VoIP Troubleshooting
- Обзор Cisco Unified Comunications System Troubleshooting
- Архивирование и восстановление Cisco Call Manager CUCM
- Поиск проблем с маршрутизацией CUCM с использованием traces
- Логирование и трекинг (trace) звонков в CUCM
- Работа с RTMT
- Полезное в RTMT
- Настройка учета звонков в CUCM
- CUCM Dialed Number Analyzer
- Полезные команды UCCX
CUCM и Факсы
Архивация и восстановление CUCM
Работа с медиа-ресурсами
SIP и Call Manager
- Часть 1 Теория
- Часть 2 Настройка SIP gateway
- Часть 3 Подключение CUCM к SIP ITSP
- Часть 6 Подключение к SIP-провайдеру
- Подключение CUCM к двум и более SIP операторам с авторизацией (sipnet + telphin). CUBE Multiple Registrars
- Подключение CUCM к SIP оператору с авторизацией по нескольким учеткам одновременно. (domru, sipnet, telphin, beeline) CUBE Multiple Registrars
- Cisco CUBE и Tenants
- Работа со "сложными" провайдерами SIP IP телефонии
Работа со стендом
- Настройка Cisco Unified Comunications с нуля. Практика01: Установка CUCM
- Настройка Cisco Unified Comunications с нуля. Практика02: Установка CUC
- Настройка Cisco Unified Comunications с нуля. Практика03: Установка CUP
- Настройка Cisco Unified Comunications с нуля. Практика04: Установка UCCX
- Настройка Cisco Unified Comunications с нуля. Практика05: Установка шлюза MGCP FXO
- Настройка Cisco Unified Comunications с нуля. Практика06: Переход в другой домен AD
- Настройка Cisco Unified Comunications с нуля. Практика07: Полное восстановление кластера CUCM 8.6 из архива
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_01: Описание
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_02: Установка CUCM
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_03: Установка UCCX
- Настройка Cisco Unified Comunications. Связка CUCM10.x_UCCX10.x_Mediasence10.x_04: Установка Mediasense
Комментарии
спасибо)))
спасибо)))
Это конечно все хорошо.. но
Это конечно все хорошо.. но где настройка gre тунеля на маршрутизаторах внутри IPsec?
А можно Вас попросить
А можно Вас попросить показать конфиги с роутеров, на которых подняты GRE-туннели.
Добрый день.А где можно
Добрый день.А где можно посмотреть конфиги по 1 Варианту?
Добрый день! При нажатии на
Добрый день! При нажатии на ссылку "ASA и туннель GRE: конфиги" (чтобы посмотреть конфиг по первому варианту), выпадает: "Вы не авторизированы для доступа к этой странице. "
Очень надо глянуть пример конфига, можете поправить?
У меня так же
У меня так же
Аналогично.
Аналогично.
Как посмотреть конфиги?
Как посмотреть конфиги?
Как посмотреть конфиги к
Как посмотреть конфиги к первой схеме ?
Поясните, какая еще нужна
Поясните, какая еще нужна авторизация для просмотра "конфигов"??? В чём подвох?
Спасибо ) ..а подвох
Спасибо ) ..а подвох предполагаю в RTFM
!
!
Не совсем понятно, зачем
Не совсем понятно, зачем нужен nat на cisco
R_dmvpn_hub
R_dmvpn_hub
interface Loopback0
ip address 10.255.255.2 255.255.255.255
!
interface Loopback50
description LAN
ip address 10.10.10.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.100.125 255.255.255.252
tunnel source 10.255.255.2
tunnel destination 10.255.255.252
!
interface FastEthernet0/1
ip address 172.16.100.122 255.255.255.252
no shutdown
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 172.16.100.121
ip route 10.10.20.1 255.255.255.0 172.16.100.126
R_dmvpn_spoke
interface Loopback0
ip address 10.255.255.252 255.255.255.255
!
interface Loopback50
description LAN
ip address 10.10.20.1 255.255.255.0
!
interface Tunnel0
ip address 172.16.100.126 255.255.255.252
tunnel source 10.255.255.252
tunnel destination 10.255.255.2
!
interface FastEthernet0/1
ip address 172.16.100.6 255.255.255.252
no shutdown
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 172.16.100.5
ip route 10.10.10.1 255.255.255.0 172.16.100.125
MSK-ASA
route dmvpn 10.255.255.2 255.255.255.255 172.16.100.122
ASA1
route dmvpn 10.255.255.252 255.255.255.255 172.16.100.6
Добавить комментарий