我想知道我必须做什么才能使以下情况成为可能:
_____________ __________________ | | | | | Network A | | Network B | | | | ___________ | | ----------====== Network C | | | | | |___________| | |_____________| |__________________| 也就是说,我想通过networkingB的networking和防火墙将networkingC中的stream量通过networkingA传送到networkingA.
我有
– networkingA上的Cisco ASA-5510
– networkingB上的未知设置
– networkingC上尽可能小的单元的要求
我目前的想法是首先使用ASA-5505,并将其用作使用EZVPN的硬件VPN客户端,但是我希望有一个更加坚固耐用的产品,因为该产品可以在+ 40°C的环境下工作。
顺便说一下:不要介意我疯狂的ASCII艺术技能;)
你所说的肯定是可能的,但“networkingB”边缘防火墙将决定你是多么容易。
如果“networkingB”防火墙不通过IPSEC,则必须使用其他types的VPN协议或将IPSEC封装到另一个协议中。 (关于我的头顶,我不记得ASA是否可以通过UDP隧道进行站点间IPSEC …)
你可能会有一个只能在“一个方向”发起的隧道。 我假设“networkingB”的运营商不会将未经请求的入站stream量从公共互联网转发到您的“networkingC”防火墙/ VPNterminal设备。 如果是这种情况,则“networkingC”防火墙必须是在“networkingA”上与ASA启动隧道的防火墙,因为来自“networkingA”的未经请求的stream量(即请求启动隧道)不会永远到达“networkingC”设备。 只要你在“networkingC”里面有东西可以产生stream量并保持隧道运行,这应该不成问题。
根据您发送的stream量types以及networkingC上的客户端数量,可以使用ASA的SSL VPN选项之一。 networkingB只需要允许出站HTTPS,并且根本不需要任何VPN硬件。
他们的目标是使用单一的客户端PC进行远程访问,而且你可以做的最多的就是转发该客户端PC的特定端口。