我正在尝试将两个站点到站点 VPN 从一个 Cisco ASA 5585x 配置到具有不同 ISP 的两个单独的 FW。我发现可以在 ASDM 下配置多个对等 IP 地址,Configuration > Site-to-Site VPN > Advanced > Crypto Maps... 编辑加密映射并添加辅助 IP 地址。这些对等点需要配置与隧道匹配的加密映射和 isakmp 设置才能工作。
这行得通吗?
使用不同的 ISP 配置冗余站点到站点 VPN
网络工程
思科-ASA
冗余
2022-02-02 09:51:15
1个回答
是的,如果您使用 IKEv1,这将起作用。ASA 目前不支持在同一加密映射条目中具有多个对等方的 IKEv2。
请注意,此方案不会同时创建 2 个隧道。ASA 将尝试建立到主要对等方的隧道,如果失败,将尝试建立到次要对等方的隧道。
另请注意,远程 ASA 必须执行 RRI(反向路由注入)以确保返回流量通过具有活动隧道的 ASA。