ESX091
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору at200859 >>Это проблему не решит. Во-первых, rip и eigrp не работают, насколько я понимаю, через VPN =))) это проблему решит, но в качестве временного решения для подключения второго офиса. у вас же работает ospf через ipsec, значит можно запустить и остальные протоколы маршрутизации. Если планируется в дальнейшем подключение еще Х офисов, то желательно изменить дизайн. Хотя есть примеры, сетей до 10 офисов, работающих на асах на статике. DMVPN - работает только на IOS. Добавлено: Elric72 не вкурил. вода: на мой взгляд для ezvpn все таки лучше использовать маршрутизаторы. С этой технологией итак граблей хватает, а тут еще и на асах ее разворачивать. а на асах делать обычные ipsec (l2l, remote-ipsec), и настраивать удобную фильтрацию трафика внутри ipsec. по делу: из первого поста >>По скольку ASA5505 в такой конфигурации пропускает весь трафик на ASA5540 который идет мимо спиттунеленинга если проблема только в этом, то что мешает повесить на внешний интерфейс acl и в нем разрешить только ipsec на 5540, а все остальное закрыть? например: access-list from-out deny ip any any access-group from-out in in out Cisco Security Server - это что за зверь? cisco ACS? и зачем нужен acl на inside интерфейсе? если хотите поменять уровни безопасности на интерфейсах, тогда необходимо дополнительно навешивать acl, т.к полностью меняется логика работы с точки зрения асы. |