我在我们组织的分支机构中使用 Cisco ASA。每个设备都有一个连接到总部的 IPsec 隧道。为了访问全球网络,每个设备也有一个 NAT。最近出现了一项任务,将所有分支流量通过隧道转发到总局,并通过总局设备访问互联网。
因此,如果我们在总部发生事故,我必须创建一些规则,将 Internet 连接从隧道切换到本地 NAT。Cisco ASA 上是否存在某种机制,看起来像可以关闭 NAT 规则的 SLA 监视器?我可以使用 PBR 来完成这项任务吗?
先感谢您。
在 Cisco ASA 上切换 Internet 连接
网络工程
思科-ASA
纳特
互联网
ipsec
备份
2022-02-23 09:02:34
1个回答
我必须创建一些规则,将 Internet 连接从隧道切换到本地 NAT
不要将 NAT 与隧道接口一起使用。您的本地私有 IP 地址对主要办公室路由器来说非常有意义,因此绝对没有理由使用 NAT。NAT 是一个杂物,一个丑陋的黑客,需要将私有网络连接到公共网络。所有的 NAT 都发生在总部,因此在隧道之前进行翻译是没有意义的。
您需要将路由器的默认路由指向隧道(接口)。为了让它仍然能够连接到 HQ 路由器,请使用您以前的默认网关创建到该目的地的特定路由。
前:
0.0.0.0/0 -> ISP gateway
后:
HQ public address/32 -> ISP gateway
0.0.0.0/0 -> VPN tunnel
主办公室路由器需要允许您的分支机构地址范围使用 NAT 连接到 Internet 的策略。完毕。
其它你可能感兴趣的问题