¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Administración del módulo SFR sobre el túnel VPN sin el conmutador LAN

Opciones de descarga

  • PDF     (260.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (180.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (220.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de enero de 2016
ID del documento:200321
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Los proveedores de servicio ofrecen el servicio PÁLIDO manejado en su cartera. La plataforma de Cisco ASA FirePOWER proporciona al conjunto unificado de la función de administración de la amenaza para proporcionar los Servicios diferenciados. Un dispositivo ASA FirePOWER hace que las interfaces diferentes para la Administración conecten con un dispositivo LAN, sin embargo, la conexión de una interfaz de administración con un dispositivo LAN crea una dependencia en un dispositivo LAN.

Este documento proporciona a una solución que permita que usted maneje un módulo de Cisco ASA FirePOWER (SFR) sin la conexión con un dispositivo LAN o usar un segundo interfaz del dispositivo de borde del proveedor de servicio.

Prerrequisitos

Componentes Utilizados

  • Plataforma de las 5500-X Series ASA con los servicios de FirePOWER (SFR).
  • Interfaz de administración que se comparte entre el ASA y el módulo de FirePOWER.

Arquitectura

Requisitos

  • Escoja las manos dedicadas del acceso a internet del dispositivo de borde del proveedor de servicio a ASA FirePOWER.
  • El acceso a la interfaz de administración es necesario para cambiar el estado del interfaz a para arriba.
  • La interfaz de administración del ASA debe permanecer para arriba para manejar el módulo de FirePOWER.
  • La Conectividad de la Administración no debe ser perdida si el cliente desconecta el dispositivo LAN.
  • La arquitectura de administración debe utilizar la Conmutación por falla PÁLIDA activa/de reserva.

Descripción de la topología

200321-Management-of-SFR-Module-Over-VPN-Tunnel-00.jpeg

Diseño de bajo nivel

200321-Management-of-SFR-Module-Over-VPN-Tunnel-01.jpeg

Solución

Las configuraciones siguientes permitirán que usted maneje el módulo SFR sobre el VPN remotamente, sin ninguna Conectividad LAN como requisito previó.

Cableado

  • Conecte la interfaz de administración 1/1 con el interfaz GigabitEthernet1/8 usando un cable de Ethernetes.

Nota: El módulo ASA FirePOWER debe utilizar el interfaz de la Administración 1/x (1/0 o 1/1) para enviar y para recibir el tráfico de administración. Puesto que el interfaz de la Administración 1/x no está en el avión de los datos, usted necesita telegrafiar físicamente la interfaz de administración a otro dispositivo LAN para pasar el tráfico a través del ASA sobre el avión del control.

Como parte de la solución del uno-cuadro, usted conectará la interfaz de administración 1/1 con el interfaz GigabitEthernet1/8 usando un cable de Ethernetes.

IP Address

  • GigabitEthernet 1/8 interfaz: 192.168.10.1/24
  • Interfaz de administración SFR: 192.168.10.2/24
  • Gateway SFR: 192.168.10.1
  • Interfaz de la Administración 1/1: La interfaz de administración no tiene ninguna dirección IP configurada. El comando del Acceso de administración se debe configurar para el propósito de la Administración (MGMT).

El tráfico local y remoto estará en las subredes siguientes:

  • El tráfico local está en la subred de administración 192.168.10.0/24.

  • El tráfico remoto está en la subred 192.168.11.0/24.

VPN y NAT

  • Defina las políticas del VPN.
  • El comando nat debe ser configurado con el prefijo de las ruta-operaciones de búsqueda para determinar la interfaz de egreso usando las operaciones de búsqueda de la ruta en vez de usar el interfaz especificado en el comando nat.

Ejemplo de configuración

!
management-access MGMT
!
interface GigabitEthernet1/1
 nameif outside
 security-level 0
 ip address 10.106.223.1 255.255.255.0
!

interface GigabitEthernet1/8
 nameif MGMT
 security-level 90
 ip address 192.168.10.1 255.255.255.252
!

interface Management1/1
 management-only
 no nameif
 no security-level
 no ip address
!

object network obj_any
 subnet 0.0.0.0 0.0.0.0
object-group network LOCAL-LAN
 network-object 192.168.10.0 255.255.255.0
object-group network REMOTE-LAN
 network-object 192.168.11.0 255.255.255.0
access-list INTREST-TRAFFIC extended permit ip 192.168.10.0 255.255.255.0 192.168.11.0 255.255.255.0        
access-list TEST extended permit tcp any any eq www
access-list TEST extended permit tcp any any eq https

nat (MGMT,outside) source static LOCAL-LAN LOCAL-LAN destination static REMOTE-LAN REMOTE-LAN route-lookup

object network obj_any
 nat (any,outside) dynamic interface

route outside 0.0.0.0 0.0.0.0 10.106.223.2 1

crypto ipsec ikev1 transform-set TRANS-SET esp-3des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto map CMAP 10 match address INTREST-TRAFFIC
crypto map CMAP 10 set peer 10.106.223.2
crypto map CMAP 10 set ikev1 transform-set TRANS-SET
crypto map CMAP interface outside

crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
!           
tunnel-group 10.106.223.1 type ipsec-l2l
tunnel-group 10.106.223.1 ipsec-attributes
 ikev1 pre-shared-key *****
!

class-map TEST
 match access-list TEST

policy-map global_policy
 class TEST
  sfr fail-close
!
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Aastha Bhardwaj
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros