远程访问、固定L2L和动态L2L IPSEC在ASA 5540 8.2上协同工作的问题

Question

我对运行8.2的远程访问、L2L和动态L2L隧道有一个问题。

下面是相关配置的一个片段：-

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10
crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5
crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 201 match address outside-crypto-map-201
crypto map outside-crypto-map 201 set peer X.X.X.X
crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5
crypto map outside-crypto-map 202 match address outside-crypto-map-202
crypto map outside-crypto-map 202 set peer Y.Y.Y.Y
crypto map outside-crypto-map 202 set transform-set ESP-AES256-SHA
crypto map outside-crypto-map 65535 ipsec-isakmp dynamic outside-crypto-dynamic-map
crypto map outside-crypto-map interface outside

我有许多使用动态IP的远程站点。这些局域网子网位于ACL“外部密码-动态映射-10”中.

基于这条线的罚款：-

crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10

我还有其他“静态”的L2L隧道，在上面的配置中，每201和202都能很好地工作。

与我的远程访问(思科VPN客户端)用户，除非我有以下线路，他们将不会连接：-

crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5

如果我试图向该序列中添加“匹配地址”语句(如下所示)，则远程访问将停止工作(其中"vpc-client- subnet“是包含来自用于远程访问客户端的IP池的子网的ACL )，因为它找不到匹配的本地/远程。

crypto dynamic-map outside-crypto-dynamic-map 20 match address vpc-client-subnet

问题是，我有许多L2L端点(我不再希望连接，但无法控制)，这些端点(在远程端)仍然配置为动态L2L对等端使用的PSK。我已经删除了他们的LAN子网从“外部密码-动态-映射- 10”(因为我不希望他们再连接)，所以他们不再匹配的动态地图seq 10，但他们仍然能够成功地完成第二阶段的“外部密码-动态地图20”，这似乎只是接受任何远程提议的地方/远程的SA。

我不能改变PSK。我不能添加一个“匹配地址”到“外部密码-动态映射20”，因为它将阻止远程访问客户端连接，但如果我不连接，那么它作为一个陷阱-所有其他同行，否则知道PSK。

理想情况下，我可以将“匹配地址”添加到seq 20中，这样远程访问用户将与其匹配，但是“旧”seq 10对等点不会匹配。或者，当ASA与没有“匹配地址”语句的映射匹配时，是否有一种方法可以阻止ASA接受本地/远程SA的远程对等点的想法？

编辑：

有关隧道组的配置：-

tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *****
 peer-id-validate nocheck
 isakmp keepalive threshold 30 retry 5

tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 5

tunnel-group ravpn type remote-access
tunnel-group ravpn general-attributes
 address-pool ip-pool-ravpn
 authentication-server-group Edirectory
 default-group-policy ravpn
tunnel-group ravpn ipsec-attributes
 pre-shared-key *****
 isakmp keepalive threshold 30 retry 2

tunnel-group-map default-group DefaultL2LGroup

“静态”隧道有多个隧道组(根据上面的x.x示例)。远程访问用户进入“蹂躏”隧道组，而动态用户都与"DefaultL2LGroup“匹配。它们之间的PSK是不一样的。

Answer 1

我建议为您的所有远程访问用户创建第二个远程访问隧道组。开始一个接一个地迁移它们，完成后您可以删除现有的默认L2L组，也可以更改PSK。

如果您遇到一些不想更改的用户，您可以强制执行特定的VPN客户端版本，并通知他们您正在进行重大的安全更新。

Answer 2

@aleks --如果你知道哪些L2L设备你不再被允许，而且你知道它们的私有IP范围，你就不能拒绝那些在你的入站ACL上的私有IP(应用于你的ASA的外部接口)。这可能不会阻止第二阶段的设置，但它肯定不会允许流量通过。只是一个想法(我在谷歌上搜索另一个问题时遇到了这个问题)。