Amazon-Web-Services

將 AWS VPN 添加到存在通往另一個辦公室的 VPN 的 Cisco ASA 5515x

  • July 31, 2017

故事:我在總部有 Cisco ASA 5515x (10.9.1.0/24),通過站點到站點 VPN 連接到辦公室 A

$$ 10.9.2.0/24 and 10.9.3.0/24 $$. 挑戰:我需要將 Cisco ASA 5515x 連接到 AWS VPN 以訪問 AWS 專用網路 (10.9.4.0/24) 以最終獲得以下設置:

AWS 私有網路 <–> 總部 <–> 辦公室 A

其中 HQ 和Office A應該能夠訪問 AWS 中的私有網路,反之亦然。

問題:AWS 提供的 Cisco 配置文件不適用於之前的場景,我嘗試更改配置文件以使其正常工作,但隧道仍然關閉,只有 Office A 隧道開啟。

我知道辦公室 A 路由器和總部路由器需要額外的配置才能將所有網路連接在一起,但我仍然無法在 ASA 和 AWS 之間建立隧道。

我應該怎麼做才能在現有 ASA VPN 上添加站點到站點 VPN?

我找到了解決問題的方法:

  • 備份目前的 Cisco 配置,並將其保存在您的桌面和路由器的快閃記憶體中。
  • 查看以下影片以獲取將乾淨的 Cisco ASA 連接到 AWS VPN 的步驟:https ://www.youtube.com/watch?v=GPPb2eHYciY
  • 從 AWS VPN 下載路由器配置文件。
  • 查找內外介面的名稱:

CISCO-ASA# 顯示界面

  • 通過在特權模式下執行以下命令來查找 Cisco 路由器上的目前加密映射名稱:

CISCO-ASA# 顯示執行加密映射

結果顯示名稱為PNL-MAP且序列為1

加密映射PNL-MAP 1匹配地址 VPN-BACKUP-TRAFFIC

  • 將地圖名稱編輯為您目前的地圖名稱 ex PNL-MAP,然後將序列增加 1 ex 2crypto map PNL-MAP 2 match address acl-amzn crypto map PNL-MAP 2 set pfs group2 crypto map PNL-MAP 2 set peer xx.xx.xx.xx yy.yy.yy.yy crypto map PNL-MAP 2 set transform-set transform-amzn crypto map PNL-MAP 2 set security-association lifetime seconds 3600

  • 編輯內外介面名稱:nat (inside_interface,outside_interface) 2 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn

  • 編輯配置文件以匹配您的 AWS VPC 網路和您的本地網路。

  • 配置文件的其餘部分與第一步影片中的相同。

最後,您應該能夠從本地網路 ping AWS 實例,反之亦然。

引用自:https://serverfault.com/questions/863089