отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Транзитный трафик через ASA

Товарищи, доброго времени суток.

Необходима помощь (возможно в качестве ссылки на нужную тему)

Ситуация следующая(смотреть на приложенную картину)

На данный момент есть 2 туннеля s2s

1) 1.1.1.1 <--> 2.2.2.2

2) 3.3.3.3 <--> 2.2.2.2

Трафик ходит между

1) 10.0.101.2 <--> 10.0.100.2

2) 10.0.101.2 <--> 10.0.103.2

Но не ходит между

1) 10.0.100.2 <--> 10.0.103.2

Надо заставить ходить трафик между всеми сетями беспрепятственно.

Ниид хелп.

Картина

shema.gif

Выжимка касаемая vpn.

asa5520 1.1.1.1

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.0.100.0 255.255.255.0
!
interface GigabitEthernet0/2
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.248

object network site-A
subnet 10.0.100.0 255.255.255.0
object network site-B
subnet 10.0.101.0 255.255.255.0
object network site-C
subnet 10.0.103.0 255.255.255.0

access-list VPN2 extended permit ip object site-A object site-B
access-list VPN2 extended permit ip object site-A object site-C

nat (inside,outside) source static site-A site-A destination static site-B site-B
nat (inside,outside) source static site-A site-A destination static site-C site-C

crypto map OM 1 match address VPN2
crypto map OM 1 set pfs
crypto map OM 1 set peer 2.2.2.2
crypto map OM 1 set ikev1 transform-set ESP-3DES-SHA ESP-DES-SHA
crypto map OM 1 set reverse-route
crypto map OM interface outside

asa5510 2.2.2.2

interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.101.1 255.255.255.0

!
interface Ethernet0/2
nameif outside
security-level 0
ip address 2.2.2.2 255.255.255.252

same-security-traffic permit intra-interface
object network site-A
subnet 10.0.101.0 255.255.255.0
object network site-B
subnet 10.0.100.0 255.255.255.0
object network site-C
subnet 10.0.103.0 255.255.255.0

access-list VPN extended permit ip object site-A object site-B
access-list VPN extended permit ip object site-B object site-C

access-list VPN-PROM extended permit ip object site-A object site-C
access-list VPN-PROM extended permit ip object site-C object site-B

nat (inside,outside) source static site-A site-A destination static site-B site-B
nat (inside,outside) source static site-A site-A destination static site-C site-C

crypto map OM 1 match address VPN
crypto map OM 1 set pfs
crypto map OM 1 set peer 1.1.1.1
crypto map OM 1 set ikev1 transform-set ESP-3DES-SHA ESP-DES-SHA
crypto map OM 1 set reverse-route
crypto map OM 2 match address VPN-PROM
crypto map OM 2 set pfs
crypto map OM 2 set peer 3.3.3.3
crypto map OM 2 set ikev1 transform-set ESP-3DES-SHA
crypto map OM 2 set reverse-route
crypto map OM interface outside

asa5505 3.3.3.3

interface Ethernet0/0

switchport access vlan 11

!

interface Ethernet0/1

switchport access vlan 22

interface Vlan11

nameif inside

security-level 100

ip address 10.0.103.1 255.255.255.0

!

interface Vlan22

nameif outside

security-level 0

ip address 3.3.3.3 255.255.255.248

object network site-A

subnet 10.0.103.0 255.255.255.0

object network site-B

subnet 10.0.101.0 255.255.255.0

object network site-C

subnet 10.0.100.0 255.255.255.0

access-list vpn extended permit ip object site-A object site-B

access-list vpn extended permit ip object site-A object site-C

nat (inside,outside) source static site-A site-A destination static site-B site-B

nat (inside,outside) source static site-A site-A destination static site-C site-C

crypto map OM 1 match address vpn

crypto map OM 1 set pfs

crypto map OM 1 set peer 2.2.2.2

crypto map OM 1 set ikev1 transform-set ESP-3DES-SHA

crypto map OM 1 set reverse-route

crypto map OM interface outside

3 ОТВЕТ.
New Member

Транзитный трафик через ASA

а если на 2.2.2.2

access-list VPN extended permit ip object site-A object site-С

?

New Member

Re: Транзитный трафик через ASA

Добрый день,

Не уловил профит от добавления этой строки в ACL.

Видимо тут дело в другом, как я понял, возможно я не прав, либо дело в NAT, либо должен построиться еще один vpn канал, от 1.1.1.1 до 3.3.3.3  внутри двух сущетвующих.

New Member

Re: Транзитный трафик через ASA

Коллеги, доброе утро

Разобрался, всем спасибо!

248
Просмотры
0
Полезный материал
3
Ответы