最近、問題に非常に悪魔に遭遇しました
AWS IPSEC CPNへのCisco ASA
アサは、他のは無理がある、ここでは複数のサブネット、サブネットであり、唯一のAWSを伝えることができます。
以下のような構成です。
ASA
255.255.255.0 10.10.55.0
10.10.66.0 255.255.255.0
10.10.77.0 255.255.255.0
に
AWS 172.21.84.0 255.255.252.0
たとえば、10.10.55.0を通じて172.21.84.0に、それは確かにどこにもあります。
AWSにCISCO ASA
オブジェクトグループネットワークIPSEC-AMAZON-LOCAL
ネットワークオブジェクト10.10.55.0 255.255.255.0
ネットワークオブジェクト10.10.66.0 255.255.255.0
ネットワークオブジェクト10.10.77.0 255.255.255.0
オブジェクト・グループネットワークIPSEC-AMAZON-REMOTE
のネットワーク・オブジェクト172.21.84.0 255.255.252.0
アクセスリストIPSEC-AMAZON延長許可IPオブジェクトグループIPSEC-AMAZON-LOCALオブジェクトグループIPSEC-AMAZON-REMOTE
NAT(×××IDE、外)ソース静的TR-DB TR-DB先静的IPSEC-AMAZON-REMOTE IPSEC-AMAZON-REMOTE
暗号マップmycryptomap 90の試合アドレスIPSEC-AMAZON
暗号マップmycryptomap 90セットピア8.8.8.8
暗号マップmycryptomap 90セットのIKEv1トランスフォームセットトランスフォームAMZN
暗号マップmycryptomap 90セットのセキュリティアソシエーションのライフタイムを秒3600
トンネルグループ8.8.8.8タイプのIPSec-L2L
トンネルグループ8.8.8.8のIPSec-属性が
事前共有鍵のIKEv1 <PSK>
任意のローカル日のカップルを試してみた結果を見てへのACL
アクセスリストIPSEC-AMAZON延長許可 IP any4オブジェクトグループIPSEC-AMAZON-REMOTE
一下是AWS官方说明
!-------------------------------------------------- ------------------------------
!#2:アクセスリストの設定
!
!アクセスリストは、トンネルの作成を可能にするために、それらの上に該当するトラフィックを送信するように設定されています。
!このポリシーは、コントロールプレーンのトラフィックを管理するために使用される外部インターフェイス上のインバウンドACLに適用する必要があるかもしれません。
!これは、Amazonのエンドポイントからデバイスに×××のトラフィックを許可することです。
!
アクセスリスト<outside_access_in>延長許可IPホスト34.227.189.221ホスト38.105.116.50
アクセスリスト<outside_access_in>延長許可IPホスト34.238.204.97ホスト38.105.116.50
!ACL-AMZNという名前の次のアクセスリストは、VPCにルーティングする必要があるすべてのトラフィックを指定します。交通意志
!暗号化され、VPCへのトンネルを介して送信されます。IPSecセキュリティアソシエーションを持つ協会
!「暗号マップ」コマンドを介して行われます。
!
!このアクセスリストは、あなたのVPCのCIDRに対応する静的ルートが含まれており、任意のサブネットからのトラフィックを許可する必要があります。
!あなたは、「任意の」ソースを使用したくない場合は、VPCの範囲にアクセスするための単一のアクセスリストエントリを使用する必要があります。
!あなたが使用しなくても、このACLのための複数のエントリを指定する場合は、「任意の」ソースとして、×××が不安定に機能します。
!どのルールも、SLA監視ASA外部インターフェイスが含まれますセキュリティアソシエーションように使用されます
!トラフィックはから供給されます。
!トンネル経由で向かうトラフィックを制限する方法に関するセクション#4を参照してください
!
!
アクセスリストACL-AMZN延長許可のIP any4 <vpc_subnet> <vpc_subnet_mask>
!------------------------------------------------- --------------------------------