Cisco ASA - tráfego de roteamento entre vários túneis site-a-site

Navegue suas respostas
1

Temos um Cisco ASA fornecendo vários túneis para nossos clientes. A maioria dos nossos funcionários usa conexões de cliente VPN padrão para o ASA.

No entanto, também queremos permitir que funcionários com conexão estática ou vários PCs usem um túnel do site.

Como podemos permitir o tráfego de Employee1thruX < - > Cisco ASA < - > Todos os túneis do cliente, embora não permitam o túnel CustomerA < - > Cisco ASA < - > Túnel CustomerB?

    
por Chromablue 29.03.2012 / 22:25

1 resposta

1

Algo ao longo destas linhas - 192.168.168.0/24 parece um pouco pequeno; se você precisar, crie um grupo de objetos para eles também. 

same-security-traffic permit intra-interface

object-group network Client_Networks
 ! Load up client network assignments here, so the ACLs don't get huge:
 network-object 192.0.2.0 255.255.255.0
 network-object 198.51.100.0 255.255.255.0

! ACL for tunnel to an example client - this one's on the 192.0.2.0 range.
! The entry covers traffic between the local net and the client
access-list outside_cryptomap_client_1 extended permit ip 172.16.89.0 255.255.255.0 192.0.2.0 255.255.255.0
! And this is needed for the traffic between the employee nets and the client
access-list outside_cryptomap_client_1 extended permit ip 192.168.168.0 255.255.255.0 192.0.2.0 255.255.255.0

! ACL for the tunnel to an employee - we'll stick them on 192.168.168.32/30;
! For the purposes of the tunnel, the client networks are local networks.
! The entry's going to create a ton of IPSec SAs -- makes a mess, but not a lot of choice.
access-list outside_cryptomap_employee_1 extended permit ip object-group Client_Networks 192.168.168.32 255.255.255.252
! And, the local whatnot.
access-list outside_cryptomap_employee_1 extended permit ip 172.16.89.0 255.255.255.0 192.168.168.32 255.255.255.252

! all the other config for the site-to-site tunnels..
crypto map outside_map 1 match address outside_cryptomap_client_1
! ...
crypto map outside_map 501 match address outside_cryptomap_employee_1

E se você tiver algum NAT em andamento, o que provavelmente fará desde que está usando os intervalos RFC1918, precisará de isenções de NAT por toda parte, correspondendo a todo o tráfego em suas ACLs de criptografia. 

! add to an existing NAT exemption ACL, if you have one.  Otherwise, make one..
! local to clients
access-list outside_nat0_outbound extended permit ip 172.16.89.0 255.255.255.0 object-group Client_Networks
! local to employees
access-list outside_nat0_outbound extended permit ip 172.16.89.0 255.255.255.0 192.168.168.0 255.255.255.0
! employees to clients
access-list outside_nat0_outbound extended permit ip 192.168.168.0 255.255.255.0 object-group Client_Networks
nat (Public) 0 access-list outside_nat0_outbound

É claro que você precisará configurar o ponto de extremidade VPN remoto no local do funcionário para ter as redes do cliente como uma rede remota, correspondendo à ACL criptografada da conexão site a site com elas.

    
por 06.04.2012 / 06:33

Tags

Ferramenta de monitoramento baseada em CLI para KVM Apache2 Gerenciar padrão do servidor