बिट 'बेल्ट और ब्रेसेस' कॉन्फ़िगरेशन योजना।
पृष्ठभूमि:
हमारे पास हमारे दूरस्थ डेटासेंटर के लिए एक सफल साइट-टू-साइट वीपीएन लिंक है।
रिमोट 'संरक्षित' नेटवर्क भी आईपी नेटवर्क रेंज है जो फ़ायरवॉल के माध्यम से इंटरनेट के रूप में खुलता है जो एंडपॉइंट का सामना करता है।
इस प्रकार : हम वीपीएन का उपयोग करते हैं ताकि हम गैर-सार्वजनिक एंडपॉइंट तक पहुंच सकें।
समस्या कथन :
यदि वीपीएन लिंक नीचे है, तो एएसए यातायात को छोड़ देता है, भले ही इंटरनेट एंडपॉइंट अभी भी रिमोट फ़ायरवॉल के माध्यम से उपलब्ध होना चाहिए।
प्रश्न :
वीपीएन डाउन होने पर मैं वीपीएन को नियमित रूप से आउटगोइंग ट्रैफ़िक के रूप में 'पास' करने के लिए कैसे कॉन्फ़िगर कर सकता हूं।
यहाँ विन्यास के प्रमुख खंड हैं।
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
मिलान ट्रैफ़िक के लिए ACL बहुत आदिम है: यह दो नेटवर्क को निर्दिष्ट करता है, निजी और दूरस्थ, जिसे नेटवर्क ऑब्जेक्ट के रूप में व्यक्त किया जाता है।
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
और एक आदिम आरेख।
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
धन्यवाद
लूटना
अद्यतन 01
नीचे टिप्पणी में (धन्यवाद के साथ) एक और अधिक सटीक ACL पर चर्चा की गई है
मैं दो एसीएलएस की परिकल्पना कर सकता हूं। (ए) जो सभी को दूरस्थ नेट की अनुमति देता है, और फिर उन समापन बिंदुओं से इनकार करता है जो पहले से ही इंटरनेट पर उपलब्ध हैं। और (बी) जो आवश्यकतानुसार केवल प्रबंधन / इंस्ट्रूमेंटेशन खोलता है।
(B) के साथ समस्या यह है कि WMI और Windows RPC जैसे समापन बिंदुओं को व्यक्त करना मानक सर्वर को संरेखित किए बिना अव्यवहारिक है।
तो, हो सकता है कि (ए) सबसे अच्छा तरीका है जो रिमोट फ़ायरवॉल कॉन्फिगर का उलटा हो जाता है ।
अद्यतन 02
माइक ने एएसए के आईओएस कॉन्फ़िगरेशन को और देखने के लिए कहा है।
मुख्यालय एएसए जो मुख्यालय साइट पर है, उसके लिए क्या है। रिमोट डीसी एक डेटा सेंटर प्रदाता के नियंत्रण में है, और इसलिए मैं ठीक से टिप्पणी नहीं कर सकता कि इसे कैसे कॉन्फ़िगर किया जा सकता है।
खैर, दिखाने के लिए बहुत कुछ नहीं है: इंटरनेट गेटवे के लिए एक डिफ़ॉल्ट मार्ग है, और कोई अन्य विशिष्ट मार्ग नहीं है।
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
इंटरफेस बहुत बुनियादी हैं। केवल मूल IPv4 विन्यास और vlans समूह को 1 बाहरी इंटरफ़ेस और 1 अंदर के इंटरफ़ेस में विभाजित करने के लिए।
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
चीयर्स, रोब