带有附加远程网络/子网的站点到站点 IPsec VPN 隧道

网络工程思科虚拟专用网网络安全

2021-07-07 03:00:34

我们有以下场景，我这边有 Cisco ASA，我们有到客户美国数据中心的 IPsec 隧道，我可以172.16.0.0从我的 ASA（本地 LAN 10.0.0.0/8）ping 子网，但现在我也想 ping 欧盟数据中心子网我很172.20.0.0困惑如何在我的 IPsec 隧道中添加该远程子网？

我们有以下 ACL 用于有趣的流量。

access-list ACL-VPN extended permit ip 10.0.0.0 255.0.0.0 172.16.0.0 255.255.0.0

我曾尝试添加以下 ACL 以查看它是否有效，但没有奏效。

access-list ACL-VPN extended permit ip 10.0.0.0 255.0.0.0 172.20.0.0 255.255.0.0

编辑

我的 ASA 配置：

crypto isakmp identity 49.XX.XX.101
crypto ikev1 enable outside
crypto ikev1 policy 100
authentication pre-share
encryption 3des
hash md5
group 1
lifetime 86400
!
tunnel-group 49.XX.XX.101     type ipsec-l2l
tunnel-group 49.XX.XX.101     ipsec-attributes
ikev1 pre-shared-key  SuperSecret

!
crypto ipsec ikev1 transform-set TSET esp-3des esp-md5
!
crypto map VPN 10 match address ACL-VPN
crypto map VPN 10 set peer 49.XX.XX.101
crypto map VPN 10 set ikev1 transform-set TSET
crypto map VPN 10 set security-association lifetime seconds 3600
!
access-list ACL-VPN extended permit ip 10.0.0.0 255.0.0.0 172.16.0.0 255.255.0.0
!
nat (any,outside) source static 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 destination static 172.16.0.0 255.255.0.0  172.16.0.0 255.255.0.0

1个回答

1

你所做的还不够。您必须确保为两端的附加子网 (172.20.0.0/16) 更新 VPN 配置。具体来说，需要满足以下几点：

在你的终端：

为其他子网添加加密 ACL。你已经这样做了。
为其他子网添加接口 ACL。我在您的配置中没有看到 172.16.0.0/16 的规则。无论如何，如果你为 172.16.0.0/16 配置了规则，你必须为 172.20.0.0/16 做同样的事情。

为其他子网添加 NAT Exemption 语句，例如：

nat (any,outside) source static 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 destination static 172.20.0.0 255.255.0.0 172.20.0.0 255.255.0.0

添加附加子网的路由。我在你的配置中没有看到 172.16.0.0/16 的路由，所以我假设你有一个默认路由。否则，如果您有 172.16.0.0/16 的路由，则必须为 172.20.0.0/16 配置类似的路由。

在您的美国 DC 客户端：

在配置了 VPN 隧道的设备上，他们还必须为附加/第二个子网 172.20.0.0/16 (EU DC) 更新其 VPN 配置（上面提到的镜像点 #1 - #3）。

在美国 DC 网络中，他们不需要第 4 点，因为他们已经为您的网络 (10.0.0.0/8) 设置了路由。但是，他们需要在配置了 VPN 隧道的设备上为其 EU DC 子网提供路由。

在您的欧盟 DC 客户端：

他们需要为您的网络 (10.0.0.0/8) 提供一条下一跳 IP 地址位于美国 DC 的路由，以便返回流量可以通过 VPN 隧道发回。

======

正确配置一切后，从您的网络 (10.0.0.0/8) 到欧盟 DC 子网 (172.20.0.0/16) 的 VPN 流量将到达美国 DC 的设备（配置 VPN 隧道的地方）。该流量被解密，然后被转发/路由到美国 DC 骨干网，然后通过 DC-Link 转发到欧盟 DC。在欧盟 DC，由于我上面提到的新配置的路由，返回流量再次通过 DC-Link 发送回美国 DC。

2

关于 ASA 上的配置，您应该尽可能避免在 ACL 和 NAT 规则中直接使用 IP 地址/子网和 TCP/UDP 端口。它很难看，并且会花费您大量的精力和时间来维护配置并在出现问题时进行故障排除。

始终将它们放入具有有意义名称的对象或对象组中。如果您需要更改或更新与它们相关的配置，您只需要更新该对象或对象组。

==========

我希望它有帮助，你可以让它工作。

其它你可能感兴趣的问题

上一篇服务器机房中的单模与多模？下一篇Cisco Nexus C9396PX 许可证问题