在Cisco ASA上交换Internet连接

Question

我在我们公司的分支机构中使用Cisco ASA。每个设备都有一个连接到主办公室的IPsec隧道。为了访问全球网络，每个设备都有一个NAT。最近出现了一项任务，就是将所有的分支业务都传送到隧道中，并通过主办公室设备接入Internet。

因此，我必须制定一套规则，如果我们在主办公室发生事故，就必须将互联网连接从隧道切换到本地NAT。思科ASA上是否存在某种机制，看起来像一个SLA监视器，可以关闭NAT规则？我可以使用PBR来完成这个任务吗？

提前谢谢你。

Answer 1

我必须创建一套规则，将因特网连接从隧道切换到本地NAT

不要在隧道接口上使用NAT。您的本地专用IP地址对主办公路由器来说是非常有意义的，所以绝对没有理由使用NAT。NAT是一种套话，是连接私人网络和公共网络所必需的一种丑陋的黑客行为。所有NAT都发生在主办公室，所以在隧道前翻译是没有意义的。

您需要将路由器的默认路由指向隧道(接口)。要使它仍然能够连接到HQ路由器，请使用以前的默认网关创建到该目的地的特定路由。

在此之前：

0.0.0.0/0 -> ISP gateway

之后：

HQ public address/32 -> ISP gateway
0.0.0.0/0 -> VPN tunnel

主办公室路由器需要使用NAT的策略来允许您的分支机构地址范围连接到Internet。好了。