故事:我在总部 (10.9.1.0/24) 有一台 Cisco ASA 5515x,通过站点到站点 VPN 连接到办公室A[10.9.2.0/24 和 10.9.3.0/24]。
挑战:我需要将 Cisco ASA 5515x 连接到 AWS VPN 以访问 AWS 私有网络(10.9.4.0/24),最终获得以下设置:
AWS 专用网络 <--> 总部 <--> 办公室 A
总部和办公室A应该能够访问 AWS 中的私有网络,反之亦然。
问题:AWS 提供的思科配置文件不适用于以前的场景,我尝试更改配置文件以使其工作,但隧道仍然中断,只有 Office A 隧道处于启动状态。
我知道办公室 A 路由器和总部路由器需要额外的配置才能将所有网络连接在一起,但我仍然无法在 ASA 和 AWS 之间建立隧道。
我应该如何在现有的 ASA VPN 上添加站点到站点 VPN?
答案1
我找到了解决问题的方法:
- 备份当前的思科配置,并将其保存在您的桌面上和路由器的闪存上。
- 查看以下视频以了解将干净的 Cisco ASA 连接到 AWS VPN 的步骤:https://www.youtube.com/watch?v=GPPb2eHYciY
- 从 AWS VPN 下载路由器配置文件。
查找内部和外部接口的名称:
CISCO-ASA#显示接口
通过在特权模式下执行此命令来查找 Cisco 路由器上当前的加密映射名称:
CISCO-ASA#显示运行加密图
结果显示名称是PNL地图序列是1:
加密地图PNL地图 1匹配地址 VPN-BACKUP-TRAFFIC
- 将地图名称编辑为您当前的地图名称,例如PNL地图,然后将序列增加 1 ex2
crypto map PNL-MAP 2 match address acl-amzn crypto map PNL-MAP 2 set pfs group2 crypto map PNL-MAP 2 set peer xx.xx.xx.xx yy.yy.yy.yy crypto map PNL-MAP 2 set transform-set transform-amzn crypto map PNL-MAP 2 set security-association lifetime seconds 3600- 编辑内外接口名称:
nat (inside_interface,outside_interface) 2 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn编辑配置文件以匹配您的 AWS VPC 网络和本地网络。
配置文件的其余部分与第一步视频中的相同。
最后,您应该能够从本地网络 ping 一个 AWS 实例,反之亦然。