最近公司新增了一條ISP網路規劃一條線路提供USER使用Internet 另一條提供點對點VPN服務連結至總公司!
想當然一定是先問過公司的維護廠商SI是否Cisco ASA可以達到相關期望! 當然結果是否定的><?!
心想!TMD Cisco 真的這麼爛嗎? 這不是很基本的需求嗎? 怎會…..
好吧!只好使用古哥大神與破爛的英文文法來Cisco 討論區祈求解答了@@” 不然又要被酸一頓了…..
總是面子上得爭回一點….. 想當然Cisco 沒這麼爛啦!! 所以就記錄一下基本設定方式囉!
拓譜圖懶得畫了…. 有空心情好再補上 哈! 對了先說明一下兩端都是Cisco ASA 總公司端是5516X 分公司是 5508X
Site to Site VPN的設定我就懶得紀錄了~ 有空可以去翻翻古哥吧!或是透過精靈就可設定好了
基本ASA Interface 設定
interface GigabitEthernet1/1
description VPN
nameif VPN-acc
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet1/2
description Internet
nameif Internet-acc
security-level 0
ip address 192.168.1.1 255.255.255.0
!
省略……..
interface GigabitEthernet1/8
description Inside
nameif INSIDE-acc
security-level 100
ip address 172.17.8.254 255.255.255.0
!
Static Route 設定
route Internet-acc 0.0.0.0 0.0.0.0 192.168.1.254 10
(Internet ISP Default Gateway 使用Internet 服務經過此路由)
route VPN-acc 0.0.0.0 0.0.0.0 172.16.1.254 20
(VPN ISP Default Gateway)
route VPN-acc 172.17.7.0 255.255.255.0 172.16.1.254 5
(將要透過VPN連總公司的內部 172.17.7.0 網段路由指向 VPN ISP Default Gateway)
route VPN-acc 172.17.6.2 255.255.255.255 172.16.1.254 5
(172.17.6.2 為總公司 5516x WAN IP 這比路由務必要設到 VPN ISP Default Gateway上!不然Debug 到死都點對點VPN都不會通)
省略…..
設定完成後可以測試一下路由是否有走對路
ASA5508X# traceroute 172.17.6.2
Type escape sequence to abort.
Tracing the route to 172.17.6.2
1 172.16.1.254 0 msec 10 msec 0 msec ==>走對路由了…
2 168.95.229.126 0 msec 0 msec 0 msec
…….
ASA5508X#
結束了嗎?! 當然沒有……. 有個注意事項一定要記錄一下
Static Route 的權重(Metric/Distance) 務必要注意 否則一樣到死Sitet To Site VPN不會通唷!其他自己意會了!
參考文章
Cisco ASA with Dual ISPs one for Internet and one for VPN example
