Настройка Cisco PIX Firewall / ASA - [34] :: В помощь системному администратору

Цитата:

Есть три asa5505. Соединены 1 < - >2 и 2 < - >3 по site-2-site vpn. Нужно пробросить трафик с asa 1 через asa 2 на asa 3. Возможно такое? Не спрашивайте зачем именно так и почему сразу не создавать 1 < - > 3. Сам не спец по cisco, только учусь. Если такой проброс возможен, куда рыть намекните. Ну или пример, если можно.

Думаю, что это возможно.
Допустим надо траффик из сети А в сеть B направить, так как Вы говорите.
Допустим сеть А за асой 1, а сеть В за асой 3
Так как уже есть vpn-туннели, то скорее всего надо
1. добавить в правило шифрования ( в аксесс-лист) на асе 1 (туннель аса1-аса2) строку А-->В
2. на асе2 в этом же туннеле в правило шифрования зеркальную строку B-->А.
3. добавить на асе 2 в аксесс-лист на шифрование (туннель аса2-аса3) строку А--->В
4. добавить на асе 3 в аксесс-лист на шифрование (туннель аса2-аса3) зеркальную строку В--->А

Таким образом, траффик из сети А в сеть В попадает на асу1, где он запихивается в туннель аса1-аса2, на асе2 выйдя из туннеля, он по таблице маршрутизации пойдет туда, где находится сеть В (надо, чтобы маршрут указывал в сторону интерфеса, на котором строится туннель аса2-аса3), далее он запихнется в туннель аса2-аса3, придет на асу3 и попадет в сеть В.
Тут есть один момент, если интерфейс у аса2 для построения туннеля до аса1 и аса3 один и тот же, возможно потребуется такая строка в конфиге same-security-traffic permit intra interface (а может быть и так same-security-traffic permit inter interface)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41