取消
显示结果 
搜索替代 
您的意思是: 
cancel
5596
查看次数
10
有帮助
3
回复

ASA 配置 anyconnect问题

houSEN8828491
Level 1
Level 1
需求,
所以登陆anyconnect的流量都走VPN。 从公司网络出去。
现状,之前的人配置了object-group network VPN
然后在 object-group network 定义了ip, 然后在添加静态路由, route inside ip mask 192.168.180.2.。 这种方式访问。
想问如何把流量都走VPN?
PS;这个可以不删吗?如果不行可以在退回来,因为这里加了很多IP
可加:QQ 990089779
如果需要可以发个红包.
1 个已接受解答

已接受的解答

kongchao2013
Level 1
Level 1
1、默认情况下,客户端拨了anyconnect后,不管上网流量还是生产业务流量,都会走vpn隧道
2、ASA防火墙里面可以配置隧道分离 tunnel-split,使用acl定义 源-目 ,客户端如果匹配上源-目,就
会走vpn隧道
3、以上两点,是流量转发的方式。我想你需要的是以上的第一点
4、使用以上第二点,会好一点,比如:我在家办公,上网走家里的宽带,办公走anyconect-vpn隧道
5、如果使用第一种,流量都会到公司的ASA上面,对ASA性能有所要求,并且客户端不能上网,如果客
户端借助公司的ASA上网,还需要有额外的NAT配置,以及同一接口内的通讯被允许(same-interface-traffice)
6、太麻烦,所以没人回答你
7、看你这情况,把隧道分离的配置删除掉就好,流量都会来公司的ASA上面,但是允许不允许客户端借助ASA上面的宽带上网,这个是额外决策,这里不说了
8、建议你找设备供应商

在原帖中查看解决方案

3 条回复3

kongchao2013
Level 1
Level 1
1、默认情况下,客户端拨了anyconnect后,不管上网流量还是生产业务流量,都会走vpn隧道
2、ASA防火墙里面可以配置隧道分离 tunnel-split,使用acl定义 源-目 ,客户端如果匹配上源-目,就
会走vpn隧道
3、以上两点,是流量转发的方式。我想你需要的是以上的第一点
4、使用以上第二点,会好一点,比如:我在家办公,上网走家里的宽带,办公走anyconect-vpn隧道
5、如果使用第一种,流量都会到公司的ASA上面,对ASA性能有所要求,并且客户端不能上网,如果客
户端借助公司的ASA上网,还需要有额外的NAT配置,以及同一接口内的通讯被允许(same-interface-traffice)
6、太麻烦,所以没人回答你
7、看你这情况,把隧道分离的配置删除掉就好,流量都会来公司的ASA上面,但是允许不允许客户端借助ASA上面的宽带上网,这个是额外决策,这里不说了
8、建议你找设备供应商

感谢这么详细的回答,same-security-traffic救我一命

Yanli Sun
Community Manager
Community Manager
kongchao2013 发表于 2019-11-7 15:05
1、默认情况下,客户端拨了anyconnect后,不管上网流量还是生产业务流量,都会走vpn隧道
2、ASA防火墙里 ...

感谢楼上解答,太详细了
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接