Lập kế hoạch cấu hình bit của vành đai và niềng răng.
Lý lịch:
Chúng tôi có một liên kết VPN trang web thành công đến trung tâm dữ liệu từ xa của chúng tôi.
Mạng 'được bảo vệ' từ xa cũng là phạm vi mạng IP được mở thông qua tường lửa khi Internet phải đối mặt với các điểm cuối.
Do đó : Chúng tôi sử dụng VPN để có thể truy cập các điểm cuối không công khai.
Báo cáo sự cố :
Nếu liên kết VPN không hoạt động, ASA sẽ giảm lưu lượng, mặc dù các điểm cuối Internet vẫn sẽ có sẵn thông qua tường lửa từ xa.
Câu hỏi :
Làm cách nào tôi có thể định cấu hình VPN để 'vượt qua' lưu lượng truy cập như lưu lượng đi thông thường, khi VPN ngừng hoạt động.
Đây là các phân đoạn thích hợp của cấu hình.
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
ACL cho lưu lượng phù hợp là rất nguyên thủy: nó chỉ định hai mạng, riêng và từ xa, được thể hiện dưới dạng các đối tượng mạng.
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
Và một sơ đồ nguyên thủy.
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
Cảm ơn
Cướp
Cập nhật 01
Một ACL chính xác hơn đã được thảo luận trong các ý kiến dưới đây (với lời cảm ơn)
Tôi có thể dự tính hai ACLS. (A) cho phép TẤT CẢ vào mạng từ xa và sau đó từ chối các điểm cuối đã có sẵn trên Internet. và (B) chỉ mở ra việc quản lý / thiết bị theo yêu cầu.
Vấn đề với (B) là việc thể hiện các điểm cuối như WMI và Windows RPC là không thực tế mà không điều chỉnh conf máy chủ tiêu chuẩn)
Vì vậy, có lẽ (A) là cách tiếp cận tốt nhất trở thành nghịch đảo của cấu hình tường lửa từ xa .
Cập nhật 02
Mike đã yêu cầu xem thêm cấu hình ios của ASA.
Điều gì sau đây là cho HQ ASA đang ở địa điểm HQ. Thiết bị DC từ xa nằm dưới sự kiểm soát của nhà cung cấp trung tâm dữ liệu và vì vậy tôi không thể nhận xét chính xác cách thức có thể được định cấu hình.
Chà, không có gì nhiều để hiển thị: Có một tuyến mặc định tới cổng Internet và không có tuyến cụ thể nào khác.
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
Giao diện rất cơ bản. Chỉ có cấu hình và vlans IPv4 cơ bản để chia nhóm thành 1 giao diện bên ngoài và 1 giao diện bên trong.
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
Chúc mừng, Rob