我有一个现有的 Cisco ASA 5520,在外部接口上配置了一个 /28 子网。我的托管服务提供商刚刚为我提供了一个新的非相邻 /28 子网,该子网路由到我的 ASA 上的外部接口。
这是当前的 IP 配置
1.1.1.145 --> ISP Gateway
1.1.1.146 --> ISP Reserved
1.1.1.147 --> ISP Reserved
1.1.1.148 --> Primary ASA Outside Int
1.1.1.149 --> Secondary ASA Outside Int
1.1.1.150 - 1.1.1.158 --> Usable IPs
2.2.2.240 - 2.2.2.254 --> New Subnet, Routed to 1.1.1.148
我尝试使用 2.2.2.240 IP 在 ASA 上创建 NAT,但似乎不起作用。据我所知,我可能需要在 ASA 上添加路由,但我不确定应该添加什么。
应该是类似
route Outside 2.2.2.240 255.255.255.240 1.1.1.148 1
答案1
如果他们将子网路由到您(路由到 ASA 拥有的旧子网上的地址),那么您只需要进行 NAT;您的 ASA 不会“拥有”其自身接口的地址之一。入站流量的路由发生在 NAT 之后,而出站流量的路由将由您的默认路由捕获。
仅 NAT 就应该可以正常工作,因此配置的该部分存在问题;您能否提供该配置,也许还packet-tracer提供从外部到新范围内的地址的模拟连接的输出?
答案2
就像 Shane 所说的那样:您要做的就是添加一条使用新 IP 之一和匹配 ACL 的 NAT 规则。之后它应该就可以正常工作了。
但我想知道您的提供商是否以不同的方式路由这两个块。1.1.1.x 的路由很可能只指定出站接口,而 2.2.2.x 的路由(如您所述)使用网关 IP(您的防火墙)。如果是这种情况,那么这两个块之间实际上会有一些差异。向您的提供商咨询并告诉他们以与路由 1.1.1.x 完全相同的方式路由 2.2.2.x IP。他们真的没有必要路由到网关 IP,如果您决定更改防火墙的外部 IP 地址,可能会破坏一切。
如果这也没有帮助,那么请再次仔细查看您的 NAT 和 ACL。别忘了,您可以使用 ASDM 轻松进行数据包捕获 - 这将为您提供流量是否到达防火墙的明确答案。
答案3
问题是外部接口上的两个网络都需要一个默认网关。如果您想在不涉及防火墙的情况下在这两个公共网络之间路由流量,则必须为每个网络添加到对方的显式路由。
2.2.2 子网连接到什么?它显然也有一个互联网连接,因为你没有指定它被路由到 1.1.1。默认网关。
答案4
我会将 2.2.2.240 子网置于 DMZ 中,并将 .241 设为防火墙接口。不必担心应用备用 IP,因为这些 IP 仅用于管理辅助防火墙。