Crypto map SECMAP interface outside

// Если номер 1 для политики crypto map уже используется, необходимо выбрать следующий свободный номер

Настройка трансляции адресов для прохождения трафика от банкоматов до процессингового центра

access-list NO_NAT_RT extended permit ip object-group NET_PLCARD object-group ATM_INTERNET

nat (rt) 0 access-list NO_NAT_RT, где rt - интерфейс Ростелекома.

Настройка маршрутизации до сети, выделенной для подключения банкоматов через Интернет

route outside 10.128+№.252.0 255.255.252.0 200.0.0.100, где 200.0.0.100 - шлюз провайдера, - номер филиала.

Разрешения в списках доступа (access-list) на интерфейсах outside и rt, для прохождения продуктивного трафика банкоматов и трафика мониторинга между выделенной сетью для подключения банкоматов через Интернет и сетью процессингового центра.

Например для интерфейса outside:

Access-list ACL_OUTSIDE_IN extended permit ip object-group ATM_INTERNET object-group NET_PLCARD

Например для интерфейса rt:

Access-list ACL_RT_IN extended permit udp object-group NET_PLCARD object-group ATM_INTERNET range 161 162

access-group ACL_RT_IN in interface rt

б) Пример настройки Cisco ASA при подключении банкомата через Интернет с динамическим внешним IP.

Перед началом работы сохраните на tftp сервер текущую конфигурацию Cisco ASA.

Crypto isakmp enable outside

crypto isakmp policy 10 // Если номер 10 для политики isakmp уже используется,

authentication pre-share //необходимо выбрать следующий свободный номер

Encryption aes-256

Hash sha

Group 2

Lifetime 86400

Crypto ipsec transform-set ESP-AES-SHA esp-aes-256 esp-sha-hmac

Crypto isakmp nat-traversal

Same-security-traffic permit intra-interface

access-list crypto_acl_atm_1 extended permit ip 10.100.11.0 255.255.255.0 10.129.254.0 255.255.255.248

access-list crypto_acl_atm_1 extended permit ip 10.100.19.0 255.255.255.0 10.129.254.0 255.255.255.248

// вместо 10.129.254.0 255.255.255.248 указываем сетевой диапазон

// выделенный для подключения банкомата

Tunnel-group DefaultL2LGroup ipsec-attributes

pre-shared-key //послеpre-shared-keyвводим первые 31 символа

// сгенерированные программой генерацией КК

crypto dynamic-map SECDYNMAP 1 match address crypto_acl_atm_1

Crypto dynamic-map SECDYNMAP 1 set transform-set ESP-AES-SHA

Crypto dynamic-map SECDYNMAP 1 set security-association lifetime seconds 3600

Crypto map SECMAP 65535 ipsec-isakmp dynamic SECDYNMAP

Crypto map SECMAP interface outside

Настройка трансляции адресов для прохождения трафика от банкоматов до процессингового центра

access-list NO_NAT_RT extended permit ip object-group NET_PLCARD object-group ATM_INTERNET

nat (rt) 0 access-list NO_NAT_RT, где rt - интерфейс Ростелекома.

Настройка маршрутизации до сети, выделенной для подключения банкоматов через Интернет

route outside 10.128+№.252.0 255.255.252.0 200.0.0.100, где 200.0.0.100 - шлюз провайдера, - номер филиала.

Разрешения в списках доступа (access-list) на интерфейсах outside и rt, для прохождения продуктивного трафика банкоматов и трафика мониторинга между выделенной сетью для подключения банкоматов через Интернет и сетью процессингового центра.

Например для интерфейса outside:

Access-list ACL_OUTSIDE_IN extended permit ip object-group ATM_INTERNET object-group NET_PLCARD

Например для интерфейса rt:

Access-list ACL_RT_IN extended permit udp object-group NET_PLCARD object-group ATM_INTERNET range 161 162

access-group ACL_RT_IN in interface rt

Обновление банкоматов

На интерфейсы выделенных каналов связи и интернета, необходимо добавить следующие строчки

Список доступа, привязанный к интерфейсу Ростелекома

access-list ACL_RT_IN line 1 extended permit udp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4104

access-list ACL_RT_IN line 2 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4728

access-list ACL_RT_IN line 3 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4105

Список доступа, привязанный к интерфейсу Интернета

access-list ACL_OUTSIDE_IN line 1 extended permit udp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4104

access-list ACL_OUTSIDE_IN line 2 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4105

access-list ACL_OUTSIDE_IN line 3 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4728

access-list ACL_OUTSIDE_IN line 4 extended permit udp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4104

access-list ACL_OUTSIDE_IN line 5 extended permit tcp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4105

access-list ACL_OUTSIDE_IN line 6 extended permit tcp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4728

Наши рекомендации