Региональное подразделение (РП) компании подключается к
центральному офису (ЦО) посредством IPSec VPN поверх провайдерского L3 VPN. На
обе площадки провайдер подает 2 VLAN, один для подключения к Интернету, второй
для соединения офисов. У компании имеется маршрутизатор Cisco ISR 2900 серии в
ЦО и ASA 5510 в региональном подразделении. Адресация используется следующая:
ЦО - 192.168.0.0/19 и 192.168.55.0/24
РП - 192.168.32.0/19, 192.168.30.0 и 192.168.100.0/24
Транспортные подсети:
192.168.22.0/24 между CO Core и Cisco ISR
192.168.100.0/24 между РП Core и Cisco
ASA
172.20.2.152/30 подключение к провайдеру в ЦО
Наличие сети 192.168.55.0 в ЦО, попадающей в
диапазон РП , и сети 192.168.30.0 в РП, является старым костылем,
убрать который уже невозможно по административным причинам.
После того как площадки были объединены посредством VPN, появилась
задача мониторинг сетевого оборудования с сервера расположенного в ЦО и
имеющего адрес 192.168.2.20.
Коммутаторы расположенные за интерфейсом inside (eth0/3) ASA
доступны для сервера мониторинга, а вот сама ASA по inside интерфейсу, нет.
Такая защита ASA, что inside недоступен для удаленных сетей находящихся за
IPSec. Пускать же его с outside напрямую небезопасно, особенно учитывая то, что
на вроде как изолированный VLAN провайдера попадает сторонний трафик с другими
подсетями (видно в логах ASA).
Поэтому snmp трафик обязательно должен идти через шифрованный
канал.
Приведу конфигурацию интерфейсов:
interface Ethernet0/1
nameif vpn
security-level
10
ip address
172.20.3.154 255.255.255.252
interface
Ethernet0/3
nameif
inside
security-level
100
ip address 192.168.100.1
255.255.255.0
Решением является добавить транспортную подсеть inside интерфейса
в VPN и обман ASA в плане расположения сервера мониторинга, не за vpn
интерфейсом, а за inside.
Итак сначала добавим транспортную сеть 192.168.100.0/24 в VPN:
object-group
network CO
network-object
192.168.55.0 255.255.255.0
network-object
192.168.0.0 255.255.224.0
object-group
network RP
network-object
192.168.30.0 255.255.255.0
network-object
192.168.32.0 255.255.224.0
network-object
192.168.100.0 255.255.255.0
access-list
VPN-ACL extended permit ip object-group RP object-group CO
crypto map VPN-MAP
1 match address VPN-ACL
crypto
map VPN-MAP 1 set pfs
crypto
map VPN-MAP 1 set peer 172.20.2.154
crypto
map VPN-MAP 1 set transform-set ESP-3DES-MD5
crypto
map VPN-MAP interface vpn
Маршруты:
route vpn 10.0.2.152 255.255.255.252 172.20.3.153 1
route vpn 192.168.0.0 255.255.224.0 172.20.2.154 1
Правило разрешающее входящий трафик на inside интерфейсе:
access-list
inside_in extended permit ip 192.168.32.0 255.255.224.0 object-group CO
access-list
inside_in extended permit ip 192.168.100.0 255.255.255.0 object-group CO
Далее необходимо ASA указать, что мониторинг находится за inside
интерфейсом,по сути обманув ее:
snmp-server host
inside 192.168.2.20 community example version 2c
После чего сервер мониторинга может по snmp опросить её.
snmpwalk -v 2c -c
example 192.168.100.1
Задача решена. Аналогично можно настроить ntp:
ntp server 192.168.2.20 source inside prefer
И удаленное управление из админской сети ЦО:
ssh 192.168.17.0 255.255.255.0 inside
И удаленное управление из админской сети ЦО:
ssh 192.168.17.0 255.255.255.0 inside
Комментариев нет:
Отправить комментарий