网络 A 10.110.15.0/24 防火墙是 .1 主机 A 是 .2
网络 B 10.110.16.0/24 防火墙为 .1 主机 B 为 .2
两个 Cisco ASA。带有加密图的 IPSec 隧道可保护 10.110.15.0/24 <-> 10.110.16.0/24。
假设两个主机 10.110.15.2 和 10.110.16.2 需要互相通信。通常我必须在每个主机上输入如下的持久静态路由:
路由添加 10.110.16.0 掩码 255.255.255.0 10.110.15.1 度量 1 -p(在“A”框上)
我还必须在 .16 主机上输入另一个持久静态路由,以便流量知道如何返回 .15 网络。请注意,每台机器的默认设置都是防火墙,因此是 .1。
我可以在 Windows/ESX/*nux 机器上添加持久路由,但是如果我想从 .15 网络管理 .16 网络中的智能交换机,该怎么办呢?
我需要运行路由协议吗?我需要在 IPSec 隧道的两端启用反向路由注入吗?我是否应该在防火墙上添加路由?如果是,您如何制定路由?它的度量是否为 1,而我的默认路由 0.0.0.0 的度量是否为 2?
答案1
如果主机 A 和 B 上的默认网关是它们各自的防火墙盒 (.1) 那么它应该已经正常工作了。
通过添加这些静态路由,您所做的就是告诉主机将该子网的流量引导至防火墙 - 如果默认网关设置正确,它应该已经这样做了。
另外,您确定主机 A 和 B 上的子网掩码设置正确吗 - 如果将其设置为 255.255.0.0,则会出现您描述的症状。