web-dev-qa-db-ja.com

CiscoASA-複数のサイト間トンネル間でトラフィックをルーティングする

クライアントに複数のサイトトンネルを提供するCiscoASAがあります。ほとんどの従業員は、ASAへの標準VPNクライアント接続を使用しています。

ただし、静的接続または複数のPCを使用している従業員がサイトトンネルを使用できるようにする必要もあります。

CustomerAトンネル<-> Cisco ASA <-> CustomerBトンネルを許可せずに、Employee1thruX <-> Cisco ASA <->すべてのカスタマートンネルからのトラフィックを許可するにはどうすればよいですか?

vpnciscorouting
1
Chromablue

これらの線に沿った何か-192.168.168.0/24少し小さめのようです。必要に応じて、それらのオブジェクトグループも作成します。

same-security-traffic permit intra-interface

object-group network Client_Networks
 ! Load up client network assignments here, so the ACLs don't get huge:
 network-object 192.0.2.0 255.255.255.0
 network-object 198.51.100.0 255.255.255.0

! ACL for tunnel to an example client - this one's on the 192.0.2.0 range.
! The entry covers traffic between the local net and the client
access-list outside_cryptomap_client_1 extended permit ip 172.16.89.0 255.255.255.0 192.0.2.0 255.255.255.0
! And this is needed for the traffic between the employee nets and the client
access-list outside_cryptomap_client_1 extended permit ip 192.168.168.0 255.255.255.0 192.0.2.0 255.255.255.0

! ACL for the tunnel to an employee - we'll stick them on 192.168.168.32/30;
! For the purposes of the tunnel, the client networks are local networks.
! The entry's going to create a ton of IPSec SAs -- makes a mess, but not a lot of choice.
access-list outside_cryptomap_employee_1 extended permit ip object-group Client_Networks 192.168.168.32 255.255.255.252
! And, the local whatnot.
access-list outside_cryptomap_employee_1 extended permit ip 172.16.89.0 255.255.255.0 192.168.168.32 255.255.255.252

! all the other config for the site-to-site tunnels..
crypto map outside_map 1 match address outside_cryptomap_client_1
! ...
crypto map outside_map 501 match address outside_cryptomap_employee_1

また、any NAT whatsoeverが進行中の場合、RFC1918範囲を使用しているため、おそらくこれを実行します。NAT暗号ACLのすべてのトラフィックに一致する、あらゆる場所での免除。

! add to an existing NAT exemption ACL, if you have one.  Otherwise, make one..
! local to clients
access-list outside_nat0_outbound extended permit ip 172.16.89.0 255.255.255.0 object-group Client_Networks
! local to employees
access-list outside_nat0_outbound extended permit ip 172.16.89.0 255.255.255.0 192.168.168.0 255.255.255.0
! employees to clients
access-list outside_nat0_outbound extended permit ip 192.168.168.0 255.255.255.0 object-group Client_Networks
nat (Public) 0 access-list outside_nat0_outbound

もちろん、従業員の場所にあるリモートVPNエンドポイントを構成して、クライアントネットワークをリモートネットワークとして使用し、サイト間接続の暗号化ACLと一致させる必要があります。

1
Shane Madden