Networking
Cisco ASA VPN - 通過主站點的 ISP 路由來自遠端站點的所有 Internet 流量
我有兩個通過站點到站點 VPN 連接的位置的情況。站點 A 有一個 Web 過濾設備。我想通過 VPN 隧道將來自站點 B 的所有流量路由到站點 A 的 Internet 連接(和 Web 過濾器)之外。使用的防火牆設備是 Cisco ASA 5505。站點到站點 VPN 已經建立。
為了完成上述任務,我需要修改什麼?
更改控制隧道策略的 ACL 以允許流量:
站點 A:
access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts
站點 B:
access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts
通過此隧道的流量將進入外部介面,被解密,然後直接返回外部介面(我希望這適用於您的網路過濾器!),因此您也需要考慮這一點:
(配置免責聲明:這是 8.2 配置,相應調整)
same-security-traffic permit intra-interface nat (outside) 1 10.X.X.0 255.255.255.0
有了這個,所有流量都將擷取加密策略,並且隧道將使用 0.0.0.0/0 的本地/遠端網路建構。
testasa# show crypto ipsec sa interface: outside Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X access-list outside_cryptomap_A permit ip any object-group site_b_hosts local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0) current_peer: test-endpoint-public #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719 #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626