최근 문제가 매우 악마가 발생
AWS IPSEC CPN 시스코 ASA
아사는 다른 부당, 여기에 여러 서브넷, 서브넷 있습니다 만 AWS를 통신 할 수 있습니다.
다음과 같은 구성이다.
ASA
255.255.255.0 10.10.55.0
10.10.66.0 255.255.255.0
10.10.77.0 255.255.255.0
에
AWS 172.21.84.0 255.255.252.0
10.10.55.0을 통해 172.21.84.0에 예를 들어, 그것은 확실히 다른 곳입니다.
AWS에 CISCO ASA
객체 그룹 네트워크 IPSEC 아마존 로컬
네트워크 개체 10.10.55.0 255.255.255.0
네트워크 개체 10.10.66.0 255.255.255.0
네트워크 개체 10.10.77.0 255.255.255.0
객체 그룹 네트워크 IPSEC - AMAZON-REMOTE
네트워크 객체 172.21.84.0 255.255.252.0
액세스 목록 IPSEC - AMAZON 연장 허가의 IP 객체 그룹 IPSEC - AMAZON-LOCAL 객체 그룹 IPSEC - AMAZON-REMOTE
NAT (××× IDE 외부) 소스 정적 TR-TR-DB DB 대상 정적 IPSEC 아마존 IPSEC-REMOTE-REMOTE-AMAZON
암호 맵 mycryptomap 90 개 일치하는 주소 IPSEC - AMAZON
암호 맵 mycryptomap 90 세트 피어 8.8.8.8
암호화지도 mycryptomap 90 세트 ikev1가-설정 변환 변환 - AMZN
암호 맵 mycryptomap 90 세트 보안 협회 평생 초 3600
터널 그룹 8.8.8.8 IPSec를 입력-l2l
터널 그룹 8.8.8.8 IPsec으로 속성은
미리 공유 한 키를 ikev1 <PSK>
로컬로 ACL은 결과를보고 며칠을 시도
액세스 목록 IPSEC - AMAZON 허가 확장 된 IP 객체 그룹 IPSEC - AMAZON-REMOTE를 any4
一下是AWS官方说明
! -------------------------------------------------- ------------------------------
! # 2 : 액세스 목록 구성
!
! 액세스 목록은 터널의 생성을 허용하고 그들에 해당하는 트래픽을 전송하도록 구성되어 있습니다.
! 이 정책은 제어 평면 트래픽을 관리하는 데 사용되는 외부 인터페이스에 인바운드 ACL에 적용 할 필요가있다.
! 이것은 아마존 엔드 포인트에서 장치에 ××× 트래픽을 허용하는 것입니다.
!
액세스 목록 <outside_access_in> 연장 허가 IP 호스트 34.227.189.221 호스트 38.105.116.50
액세스 목록 <outside_access_in> 연장 허가 IP 호스트 34.238.204.97 호스트 38.105.116.50
! ACL-AMZN라는 이름의 다음 액세스 목록은 VPC에 라우팅 할 필요가 모든 트래픽을 지정합니다. 교통 것이다
! 암호화 및 VPC에 터널을 통해 전송 될 수있다. 는 IPSec 보안 협회와 협회
! 은 "암호화지도"명령을 통해 이루어집니다.
!
! 이 액세스 목록은 VPC의 CIDR에 해당하는 정적 경로를 포함하고 서브넷의 트래픽을 허용해야합니다.
! 당신이 "어떤"소스를 사용하지 않으려면, 당신은 VPC 범위를 액세스하기위한 하나의 액세스 목록 항목을 사용해야합니다.
! 당신이 사용하지 않고이 ACL에 대한 하나 개 이상의 항목을 지정하면 "어떤"소스와 같이 ××× 마우스가 제대로 작동합니다.
! 임의 규칙은 또한 SLA 모니터링 ASA는 외부 인터페이스를 포함 할 보안 연결 있도록 사용됩니다
! 트래픽에서 공급됩니다.
! 터널을 통해가는 트래픽을 제한하는 방법에 관한 섹션 # 4를 참조하십시오
!
!
액세스 목록의 ACL-AMZN 연장 허가의 IP any4 <vpc_subnet> <vpc_subnet_mask>
! ------------------------------------------------- --------------------------------