我想知道我必须做什么才能使以下场景成为可能:
_____________ __________________
| | | |
| Network A | | Network B |
| | | ___________ |
| ----------====== Network C | |
| | | |___________| |
|_____________| |__________________|
即,我想通过网络 B 的网络和防火墙将流量从网络 C 隧道传输到网络 A。
我有
- 网络 A 上的 Cisco ASA-5510
- 网络 B 上的未知设置
- 网络 C 上尽可能小的单元要求
我目前的想法是启动 ASA-5505 并将其用作使用 EZVPN 的硬件 VPN 客户端,但我想要一种更坚固、更工业化的产品,因为该设备可以在 +40°C 的地区工作。
顺便说一句:不要介意我疯狂的 ASCII 艺术技巧 ;)
答案1
您所说的当然是可能的,但是“网络 B”边缘防火墙将决定这对您来说有多容易。
如果“网络 B”防火墙无法通过 IPSEC,那么您将不得不使用其他类型的 VPN 协议或将 IPSEC 封装到另一个协议中。(我一时想不起来 ASA 是否可以通过 UDP 隧道进行站点到站点的 IPSEC...)
您可能还会有一个只能在“一个方向”启动的隧道。我假设“网络 B”的运营商不会将来自公共互联网的未经请求的入站流量转发到您的“网络 C”防火墙/VPN 终端设备。如果是这样的话,那么“网络 C”防火墙必须是在“网络 A”上启动与 ASA 的隧道的防火墙,因为来自“网络 A”的未经请求的流量(即启动隧道的请求)永远不会到达“网络 C”设备。只要您在“网络 C”内部有可以生成流量并保持隧道运行的东西,这就不会有问题。
答案2
根据您发送的流量类型以及网络 C 上的客户端数量,ASA 的 SSL VPN 选项之一可能会起作用。网络 B 只需允许出站 HTTPS,您根本不需要任何 VPN 硬件。
它们针对的是使用它们进行远程访问的单个客户端 PC,您最多能够做的就是为该客户端 PC 转发特定端口。