在ASA5500上同时部署sslvpn和ipsecvpn并且是双isp接入

network

在ASA5500上同时部署sslvpn和ipsecvpn并且是双isp接入

　　　　　　　　　　　　　　　　XX集团的项目背景：

总部在武汉用一台ASA5520作为internet的接入设备，全国有30-40个分公司和办事处，各分公司或办事处通过ipsec vpn或ssl vpn 访问武汉总部的资源。但有些分公司使用的是网通线路，主要在北方；还有些分公司使用电信的线路，主要在南方，这样如果用户只租用网通或电信的线路就存在一个问题：如果武汉总部只租用网通的线路，则租用电信线路的分公司通过vpn访问总部的资源就比较慢，反则依然。所以用户在武汉总部分别租用一条电信和网通的线路连到ASA5520上，这样租用网通线路的分公司通过网通线路vpn访问总部的资源，而租用电信线路的分公司则通过电信的线路vpn访问公司总部的资源（关键是这步怎么实现）。
解决方案：服务器配置双网卡并配置相应的ip，在asa5520上做静态映射----把服务器其中一个ip映射到电信的分配的公有ip上，服务器的另外一个ip映射到网通分配的公有ip上。并在asa5520连到电信线路和网通线路的两个接口别做ipsec vpn和ssl vpn。各分公司和办事处分别通过ipsec vpn或ssl vpn 访问武汉总部的资源。当初路由设计：到网通配置静态路由（向当地网络要他们所有的路由表），到电信配置一个默认路由，按照这种设计方案配置完后问题出现了，发现有些网站不能访问，再进一步测试ping 电信 dns不通（找个让ping的电信dns），纳闷了，再查发现流量根本就不从连接电信的防火墙端口出去，把连接网通防火墙的端口shutdown，则ok！！！判断是路由的问题。防火墙就是防火墙，有点傻，没路由器聪明，当初设计的一个静态路由和一个默认路由（到网通配置静态路由（向当地网络要他们所有的路由表），到电信配置一个默认路由）行不通（有没有高手知道为啥，请指教），后来不得已而为之，把电信的路由表也给拿过来都做静态，这样以后电信或网通的路由表要是增加，客户又得找我麻烦喽。
在这个项目实施过程有个小插曲：招标时客户提出需要防火墙设备具有sslvpn功能，但没有明确说明要在该项目中实施ssl vpn，所以吗，我们就没给他们买ssl vpn的License，默认asa5500系列防火墙支持两个用户的ssl vpn拨入，到实施时客户要求部署ssl vpn，并且要求支持1000用户，我当时傻了，看玩笑----没买License，只支持2个ssl vpn！！！并且当时1000用户的ssl vpn License （ASA5500-SSL-1000=）是8万多美金而且cisco没有折扣，好家伙一算下来80多万，兄弟们，一台ASA5520才说多少银票呀！！！随后偷偷的和公司联系商议对策，一查标书有破绽-----招标时客户提出需要防火墙设备具有sslvpn功能，但没有明确说明要该项目中实施ssl vpn。这下客户的相关负责人傻了。不过最后把ssl vpn也给客户部署上并测试没问题，但是就是不能用（只有2个ssl vpn可用）。

zgf666

dddddddddddddddddddddddddddd

neogaia

好东西。。。。。。。。。。。。。。