История: У меня есть Cisco ASA 5515x в штаб-квартире (10.9.1.0/24), подключенный через межсайтовый VPN к офис А [10.9.2.0/24 и 10.9.3.0/24].
Вызов: Мне нужно подключить Cisco ASA 5515x к AWS VPN, чтобы подключиться к частной сети AWS (10.9.4.0/24), чтобы получить следующую настройку:
Частная сеть AWS <--> HQ <--> Офис A
где HQ и Офис А должен иметь доступ к частной сети в AWS и наоборот.
Проблема: Файл конфигурации Cisco, предоставленный AWS, не работает с предыдущим сценарием, я попытался изменить файл конфигурации, чтобы он работал, но туннель все еще не работает, только туннель Office A работает.
Я знаю, что на маршрутизаторе Office A и маршрутизаторе HQ требуется дополнительная конфигурация для соединения всей сети, но мне все еще не удалось установить туннель между ASA и AWS.
Что мне делать, чтобы добавить VPN типа "сеть-сеть" в существующую VPN ASA?
Я нашел решение своей проблемы:
Найдите название внутреннего и внешнего интерфейса:
CISCO-ASA # показать интерфейс
Найдите текущее имя криптокарты на вашем маршрутизаторе Cisco, выполнив эту команду в привилегированном режиме:
CISCO-ASA # show run криптокарта
Результат показывает, что имя PNL-MAP и последовательность 1:
криптокарта PNL-MAP 1 сопоставить адрес VPN-BACKUP-TRAFFIC
crypto map PNL-MAP 2 match address acl-amzn
crypto map PNL-MAP 2 set pfs group2
crypto map PNL-MAP 2 set peer xx.xx.xx.xx yy.yy.yy.yy
crypto map PNL-MAP 2 set transform-set transform-amzn
crypto map PNL-MAP 2 set security-association lifetime seconds 3600
nat (inside_interface,outside_interface) 2 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn
Отредактируйте файл конфигурации, чтобы он соответствовал вашей сети AWS VPC и вашей локальной сети.
Остальная часть файла конфигурации остается такой же, как и в видео на первом шаге.
В конце вы сможете выполнить эхо-запрос экземпляра AWS из вашей локальной сети и наоборот.