'বেল্ট এবং ধনুর্বন্ধনী' কনফিগারেশন পরিকল্পনা বিট।
পটভূমি:
আমাদের দূরবর্তী ডেটাসেন্টারে একটি সফল সাইট টু সাইট ভিপিএন লিঙ্ক রয়েছে।
দূরবর্তী 'সুরক্ষিত' নেটওয়ার্ক হ'ল আইপি নেটওয়ার্ক পরিসীমা যা ফায়ারওয়ালের মাধ্যমে ইন্টারনেটের মুখোমুখি হিসাবে শেষ হয়।
সুতরাং : আমরা ভিপিএন ব্যবহার করি যাতে আমরা জন-সর্বজনীন শেষ পয়েন্টগুলিতে অ্যাক্সেস করতে পারি।
সমস্যা বিবৃতি :
যদি ভিপিএন লিঙ্কটি নিচে থাকে, তবে এএসএ ট্র্যাফিকটি হ্রাস করে, যদিও ইন্টারনেটের শেষ পয়েন্টগুলি এখনও দূরবর্তী ফায়ারওয়ালের মাধ্যমে পাওয়া উচিত।
প্রশ্ন :
ভিপিএন ডাউন থাকাকালীন আমি কীভাবে ভিপিএনকে নিয়মিত বহির্গামী ট্র্যাফিক হিসাবে ট্র্যাফিক 'পাস' করতে কনফিগার করতে পারি।
কনফিগারেশনের প্রাসঙ্গিক বিভাগগুলি এখানে।
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
ট্র্যাফিকের সাথে মিলে যাওয়ার জন্য এসিএলটি খুব আদিম: এটি দুটি ব্যক্তিগত, ব্যক্তিগত এবং দূরবর্তী নেটওয়ার্ককে অবজেক্ট হিসাবে প্রকাশিত নির্দিষ্ট করে।
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
এবং একটি আদিম চিত্র।
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
ধন্যবাদ
হরণ করা
আপডেট 01
নীচে মন্তব্যগুলিতে আরও একটি সুনির্দিষ্ট এসিএল আলোচনা করা হয়েছে (ধন্যবাদ সহ)
আমি দুটি এসিএলএস কল্পনা করতে পারি। (ক) যা প্রত্যেকে প্রত্যন্ত নেটগুলিতে সকলকে অনুমতি দেয় এবং তারপরে ইন্টারনেটে ইতিমধ্যে উপলব্ধ এমন বিন্দুগুলি অস্বীকার করে। এবং (খ) যা প্রয়োজন অনুযায়ী কেবল পরিচালন / উপকরণ খোলায়।
(বি) এর সাথে সমস্যাটি হ'ল ডাব্লুএমআই এবং উইন্ডোজ আরপিসির মতো শেষের পয়েন্টগুলি প্রকাশ করা স্ট্যান্ডার্ড সার্ভার কনফকেটচিহ্ন ছাড়াই অযৌক্তিক)
সুতরাং, সম্ভবত (এ) হল সেরা পদ্ধতির যা দূরবর্তী ফায়ারওয়াল কনফিগারেশনের বিপরীতে পরিণত হয়।
আপডেট 02
মাইক এএসএর আরও আইওএস কনফিগারেশনটি দেখতে বলেছে।
এইচকিউ সাইটে থাকা সদর দফতরের এএসএর জন্য যা অনুসরণ করা হয় তা। রিমোট ডিসি একটি ডেটা সেন্টার সরবরাহকারীর নিয়ন্ত্রণাধীন এবং সুতরাং কীভাবে এটি কনফিগার করা যায় তার বিষয়ে আমি মন্তব্য করতে পারি না।
ওয়েল, দেখানোর মতো অনেক কিছুই নেই: ইন্টারনেট গেটওয়েতে একটি ডিফল্ট রুট রয়েছে এবং অন্য কোনও নির্দিষ্ট রুট নেই।
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
ইন্টারফেস খুব বেসিক। গ্রুপটি 1 টি বাইরের ইন্টারফেস এবং 1 ইন্টারফেসের মধ্যে বিভক্ত করার জন্য শুধুমাত্র বেসিক আইপিভি 4 কনফিগার এবং ভ্ল্যান্স।
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
চিয়ার্স, রব