取消
显示结果 
搜索替代 
您的意思是: 
cancel
6342
查看次数
0
有帮助
11
回复

三台asa,相邻两台vpn互联 相隔的asa能互联吗(不直接做vpn)

fishlonely
Level 1
Level 1
本帖最后由 fishlonely 于 2017-10-22 10:07 编辑

如图示所示 Asa_a和asa_B通过ezvpn 互联,Asa_b和asa_c通过site2site vpn互联
现在是想让asa_a内网段能访问 asa_c内网段。
问题:
现在在asa_a端ping asa_c
在asa_a上能看到 有数据包 只有加密,没有解密
在asa_c上通往asa_a上数据流包都是 0


11 条回复11

fortune
VIP Alumni
VIP Alumni
asa B 与asa C 的VPN 感兴趣流是否配置了192.168.55.0 这个网段?

fishlonely
Level 1
Level 1
vsop5207 发表于 2017-10-23 10:14
asa B 与asa C 的VPN 感兴趣流是否配置了192.168.55.0 这个网段?

C端配置了55网段的兴趣流
在A端也配置了 10网段的兴趣流
但是不通
在A端ping C端 只有加密包 没有解密包

fortune
VIP Alumni
VIP Alumni
fishlonely 发表于 2017-10-23 10:46
C端配置了55网段的兴趣流
在A端也配置了 10网段的兴趣流
但是不通

B 端有配置去往C端的感兴趣流中有A局域网的地址段吧? 包含了没?

fishlonely
Level 1
Level 1
vsop5207 发表于 2017-10-23 11:01
B 端有配置去往C端的感兴趣流中有A局域网的地址段吧? 包含了没?

有的 已经配置了 B去C上包括了 A

fishlonely
Level 1
Level 1
vsop5207 发表于 2017-10-23 11:01
B 端有配置去往C端的感兴趣流中有A局域网的地址段吧? 包含了没?

而且第二阶段的加密 验证算法都一样

fortune
VIP Alumni
VIP Alumni
fishlonely 发表于 2017-10-23 11:06
而且第二阶段的加密 验证算法都一样

那最后再问一句, AB 直接的VPN ,有没有将B 去往A的感兴趣流添加C内网网段? 如果这都有了,那应该是通的才对啊,

fishlonely
Level 1
Level 1
vsop5207 发表于 2017-10-23 11:36
那最后再问一句, AB 直接的VPN ,有没有将B 去往A的感兴趣流添加C内网网段? 如果这都有了,那应该是通 ...

太谢谢你了,我试下

niweijian2014
Spotlight
Spotlight
想不通为啥搞那么复杂,AC直接做vpn不是更好吗???

13nash
Level 8
Level 8
可以的,中心点上感兴趣流写清楚。这个我实际做过

fishlonely
Level 1
Level 1
还有个问题请教大家:
也是这个图示 原先 asa_B和asa_C已经建立的site2site vpn正常使用, 他们的兴趣流是 192.168.50.0/24 到192.168.10.0/24 因为asa_C是别人的设备 不能更改
我这边增加了个asa_A 也想实现和asa_C互通,
这样的思路是否可行:
把asa_B的内网段改为 192.168.50.0/25 asa_A的内网段改为:192.168.50.128/25
asa_A和asa_B建立site2site vpn 两者的兴趣流 192.168.50.128/25 到 192.168.50.0/25 和192.168.10.0/24

xuxianda7
Spotlight
Spotlight
这个 ,应该是感兴趣流的问题,以前做过类似的项目,只要感兴趣流对了都ok,关键是三台ASA 的VPN 感兴趣流包含所有的私网网段!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接