Wir haben 2 Standorte, die durch ein IPSEC-VPN zwischen 2 Cisco ASAs verbunden werden:
Standort 1 8-MB-ADSL-Verbindung Cisco ASA 505
Standort 2, 2 MB SDSL-Verbindung Cisco ASA 505
Grundsätzlich benötigen beide Standorte Zugriff auf einen Dienst am Ende eines anderen IPSEC-VPN, Standort 3, den ich an Standort 2 beenden möchte. Dies liegt an der Art und Weise, wie der Dienst verkauft wird – er wird pro Gateway abgerechnet. Wenn also sowohl Standort 1 als auch Standort 2 ihre eigene VPN-Verbindung zu Standort 3 hätten, würde uns das doppelt so viel kosten … Wie dem auch sei, meine Idee ist, den gesamten Verkehr von Standort 1, der für Standort 3 bestimmt ist, über das VPN zwischen Standort 1 und Standort 2 laufen zu lassen. Das Endergebnis ist, dass der gesamte Verkehr, der Standort 3 erreicht, über Standort 2 gekommen ist.
Ich verstehe, dass dies als Hairpinning bekannt ist, aber ich habe Schwierigkeiten, viele Informationen darüber zu finden, wie dies eingerichtet wird. Kann also erstens jemand bestätigen, dass das, was ich erreichen möchte, möglich ist, und kann mir zweitens jemand ein Beispiel für eine solche Konfiguration zeigen?
Vielen Dank.
Antwort1
Schauen Sie sich andiese Seite. Es bietet ein gutes Beispiel dafür, was Sie nehmen möchten. Wie am Ende desHintergrundinformationTeil, der interessante Befehl ist same-security-traffic, so dass Sie site1 erlauben können, Daten mit site3 auszutauschen
Es gibt ein weiteres BeispielHier(etwas klarer vielleicht)