'벨트 및 버팀대'구성 계획의 비트.
배경:
원격 데이터 센터에 대한 사이트 간 VPN 링크가 성공적으로 완료되었습니다.
원격 '보호 된'네트워크는 방화벽을 통해 인터넷을 향한 엔드 포인트로 열리는 IP 네트워크 범위이기도합니다.
따라서 : 우리는 VPN을 사용하여 비공개 엔드 포인트에 액세스 할 수 있습니다.
문제 설명 :
VPN 링크가 작동 중지되면 ASA는 인터넷 엔드 포인트가 원격 방화벽을 통해 여전히 사용 가능하더라도 트래픽을 삭제합니다.
질문 :
VPN이 다운되었을 때 트래픽을 일반 발신 트래픽으로 '통과'하도록 VPN을 구성하는 방법
구성의 관련 세그먼트는 다음과 같습니다.
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
트래픽 일치를위한 ACL은 매우 원시적입니다. 개인 및 원격의 두 네트워크를 네트워크 개체로 표시합니다.
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
그리고 원시 다이어그램.
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
감사
롭
업데이트 01
보다 정확한 ACL은 아래 의견에서 논의되었습니다 (감사합니다)
두 개의 ACL을 구상 할 수 있습니다. (A) 모든 원격 네트워크에 허용하고 인터넷을 통해 이미 사용 가능한 끝점을 거부합니다. 그리고 (B) 필요에 따라 관리 / 계기 장을 연다.
(B)의 문제는 WMI 및 Windows RPC와 같은 엔드 포인트를 표현하는 것이 표준 서버 conf를 조정하지 않으면 비실용적입니다)
따라서 아마도 (A)가 원격 방화벽 구성 과 반대되는 가장 좋은 방법 일 것 입니다.
업데이트 02
Mike는 ASA의 ios 구성에 대한 추가 정보를 요청했습니다.
다음은 본사 사이트에있는 본사 ASA에 대한 것입니다. 원격 DC 하나는 데이터 센터 공급자의 통제하에 있으므로 어떻게 구성 할 수 있는지에 대해서는 정확하게 언급 할 수 없습니다.
인터넷 게이트웨이에 대한 기본 경로는 하나 뿐이며 다른 특정 경로는 없습니다.
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
인터페이스는 매우 기본적입니다. 기본 IPv4 구성 및 VLAN 만 그룹을 외부 인터페이스 1 개와 내부 인터페이스 1 개로 그룹화합니다.
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
건배, 롭