有个英国的客户,他的主要用户都在国内,如果服务器在英国的话,从国内直接访问英国的网络,就非常的慢,不可接受.
但是客户一定要服务器放在英国,然后就又了如下折中的案例,
在香港建一个防火墙,IPSEC通道 把香港和英国连起来.
当内地客户访问时,流量先走香港的防火墙,然后ISPEC通道,连到英国的后台服务器去.
香港的防火墙就好像一个代理服务器似得,
Customer-----------HKGFirewall(public IP)---------IPsec--------London(backendservers private ip)
这个是一种非常小众的设置,有特别需求的才会这样做
ASA 设置 香港
Note:
192.168.31.220 ( 香港服务器公网地址)
172.16.100.100 ( 后台服务器私有地址在英国)
流量假设大陆客户时1.1.1.1 ---- 去往服务器192.168.31.220
1.1.1.1----------香港服务器(192.168.31.220 NAT 172.16.100.100)---------ipsec---------英国防火墙---------后台服务器172.16.100.100
ASA 设置 香港
-----------------
#IPsec 通道 注意看这是时不是非常的特别,防火墙把192.168.31.220 NAT 到172.16.100.100 是在outside地址做的
然后172.16.100.100 就顺着IPsec 流量去伦敦防火了.
nat (outside,outside) source static IPSEC-HK-LOCAL IPSEC-HK-LOCAL destination static IPSEC-UK-REMOTE IPSEC-UK-REMOTE
!
#香港的共有地址映射到英国的私有地址
object network host-172.16.100.100
nat (outside,outside) static 192.168.31.220
crypto map mycryptomap 10 match address IPSEC-UK
crypto map mycryptomap 10 set peer 192.168.31.200
crypto map mycryptomap 10 set ikev1 transform-set strong
crypto map mycryptomap 10 set security-association lifetime seconds 86400
object-group network IPSEC-HK-LOCAL
network-object 0.0.0.0 0.0.0.0 <----Internet 流量
object-group network IPSEC-UK-REMOTE
network-object 172.16.100.0 255.255.255.0
-----------------
ASA 设置英国
nat (inside,outside) source static IPSEC-UK-LOCAL IPSEC-UK-LOCAL destination static IPSEC-HK-REMOTE IPSEC-HK-REMOTE
crypto map mycryptomap 10 match address IPSEC-HK
crypto map mycryptomap 10 set peer 192.168.31.100
crypto map mycryptomap 10 set ikev1 transform-set strong
crypto map mycryptomap 10 set security-association lifetime seconds 86400
object-group network IPSEC-HK-REMOTE
network-object 192.168.100.0 255.255.255.0
network-object 0.0.0.0 0.0.0.0 <----Internet 流量
object-group network IPSEC-UK-LOCAL
network-object 172.16.100.0 255.255.255.0 
