是否可以在同一 IOS 路由器和 ASA 之间拥有动态和静态 VPN,在 ASA 端共享相同的有趣流量/加密 ACL?有问题的两个设备:
- ASA 9.1 - VPN 的集线器/终端点
- 897 15.4 - 分支/分支办公室
897 IOS 路由器有两个用于 Internet 连接的链接:
- 主链路:静态 IP 2.2.2.2,ATM0 绑定到 Dialer2(通过“ppp ipcp route default”注入的默认路由,静态 AD 1)
- 备份链路:动态 IP,Cell0 绑定到 Dialer1(当 ATM0/Dialer2 接口关闭时,带有 AD 200 的浮动静态默认路由)
分支机构有一个网络 - 10.1.30.0/24。静态 L2L VPN(例如 2.2.2.2)通过到 ASA 的 ATM0 链路配置并且工作成功。如果此链接/隧道出现故障,我希望分支机构通过蜂窝 4G 备份链接上的动态 VPN 隧道保持与我们公司网络的可达性。
目前,静态和动态 VPN 在其加密 ACL 中具有相同的本地和远程网络。
相关ASA配置:
crypto dynamic-map BACKUPCELL 16 match address CRYPTOACL_CELL
crypto dynamic-map BACKUPCELL 16 set pfs group5
crypto dynamic-map BACKUPCELL 16 set ikev1 transform-set ESP-AES-256-SHA
crypto dynamic-map BACKUPCELL 16 set reverse-route
"
crypto map outside_map 11 match address CRYPTOACL_ATM
crypto map outside_map 11 set pfs group5
crypto map outside_map 11 set peer 2.2.2.2
crypto map outside_map 11 set ikev1 transform-set ESP-AES-256-SHA
crypto map outside_map 11 set reverse-route
"
crypto map outside_map 16 ipsec-isakmp dynamic BACKUPCELL
access-list CRYPTOACL_ATM extended permit ip any4 object 10.1.30.0_24
access-list CRYPTOACL_CELL extended permit ip any4 object 10.1.30.0_24
我在尝试通过删除 897 上的 ATM0 链接来测试故障转移场景时遇到的问题,ASA 上的“show crypto ipsec sa”显示解密但没有加密(数据包跟踪器在 ENCRYPT 阶段显示 DROP)。即使静态对等体关闭,它也会出现,在评估 ASA 的加密映射序列时,它会在静态对等体的 CRYPTOACL_ATM 匹配处停止。
如果我将 ASA 的 CRYPTOACL_ATM 修改为其他特定内容,导致 CRYPTOACL_CELL 匹配,则它可以成功运行。这是不可行的,因为如果 ATM0 出现故障,分支机构将需要通过其 Cell0 链接访问所有网络。
这种拓扑结构和基于策略的 VPN 在 ASA 上是否有可能的解决方案?(这不涉及第二个 ASA 头端,也不用支持基于路由的 VPN 的东西替换它。)
先感谢您。