我们目前有两台 ASA5515-X 防火墙,我们想要做的是让其中一台专门提供 AnyConnect VPN 和两个站点到站点 VPN,第二台 ASA 处理防火墙 ACL 以连接到我们的内部 VLAN。
我们在 VPN ASA 上配置了三个 VLAN,准备设置 VPN 端点。我们无法弄清楚的问题是如何将这三个 VLAN 呈现给防火墙 ASA,以便我们可以为这三个 VPN 端点制定特定规则,我们为每个 VLAN 配置了一个子网,当然从 VPN ASA 到防火墙 ASA 只能有一个默认路由。
对于我们如何实现这一目标的任何建议,我们将不胜感激。
答案1
我有点困惑为什么默认路线在这里会成为一种约束。
我了解到您希望流量串联流经每个 ASA,其中一个执行 VPN 终止,另一个执行实际防火墙。在这种情况下,您没有理由不能将 ASA 之间的链路设为 802.1q 中继,并为每个 VLAN 创建子接口。然后,您可以将适当的规则应用于子接口,并且还可以为每个子接口指定路由。
由于这三个 VLAN 在逻辑上是分开的,因此您需要为每个 VLAN 上的子网单独提供路由;您无法将它们聚合在防火墙 ASA 的路由表中。这包括使用默认路由来路由它们。