我正在尝试将 Cisco ASA 5520 设置为我们数据中心设置的主要入口点。此设置包括:
- 云服务器配置中使用的三个私有网络(管理、SAN 和备份)
- 一个可公开访问的 /26 子网,用于客户服务器和云服务器配置
因此网络定义为:
Subnet 80.50.100.64/26
ISP Gateway 80.50.100.65
Management 10.10.10.0/24
SAN 10.20.20.0/24
Backup 10.30.30.0/24
目前,一些客户服务器已经上线,使用 Catalyst 3548XL 将它们连接到互联网。目前的情况如下:
ISP Uplink ---> Cisco Catalyst 3548XL
|--> Customer servers on /26 subnet, using ISP gateway
|--> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway)
|--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
|--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
|--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
我想要实现的是将 Catalyst 置于 ASA 后面,这样 ISP 上行链路就连接到 ASA,而 /26 子网则连接到 ASA 后面的“内部”端口(我认为这是 DMZ 设置?)。最好仍使用 ISP 网关 (.65) 作为 /26 子网的互联网网关,这样我就不必联系客户来更新他们的网络配置。如果我正确理解了文档,这应该只能使用透明防火墙设置来实现,但由于 ASA 不支持透明和路由安全上下文的混合,而我的私有网络肯定需要路由配置,因此这应该很难实现。但如果我错了,请纠正我。
目前唯一的解决方案似乎是引入 ASA 作为附加跳数,使其成为 /26 子网的网关。但我完全不知道如何设置它,我真的希望有人能给我一些关于如何实现这一点的指点。
所需的设置如下:
ISP Uplink ---> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway (.65)
|--> Public subnet (Don't know what the IP config should be)
| |--> Cisco Catalyst 3548XL
| |--> Customer servers on /26 subnet (Gateway = ?)
| |--> Cloud setup public connections (Gateway = ?)
|
|--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
|--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
|--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
我认为解决方案是将 ASA 外部设置为80.50.100.66
带有网络掩码的255.255.255.252
,并将公共内部接口设置为80.50.100.67
/26 子网的其余部分,但是 ASA 不允许我这样做,因为子网会重叠,所以现在我被困住了!
答案1
为了能够将 /26 置于 ASA 内部,您需要一个链接网络(可能是 /30),您的 ISP 路由器和 ASA 可在此进行通信。但是,如果您无法轻松获得此类链接网络,则一种选择是使用 1:1 NAT。
我的一个客户有一个 /19 网络,所以我将 100.100.0.0/30 设为链路网络,除此之外的任何内容(100.100.1-31./24 等)都在 asa 后面,进一步分为多个 /24、/29、/30 等,每个都驻留在自己的 VLAN 中。
所以我最好的建议是要求你的提供商提供一个链接网,并将你的 /26 放在 ASA 后面 - 或者简单地使用 NAT 1:1(在我看来,它不那么灵活,并且会在过渡到 IPv6 时产生更多潜在的配置,从而产生问题)。
要实现 NAT 1:1,请设置一个具有 RFC1918 CIDR 的接口(或子接口)(例如 10.40.40.0/24),让 ASA 拥有一个地址(通常为 .1 或 .254)。将所有 DMZ 主机放入此子网,将 ASA IP 设置为默认网关。根据您运行的 Cisco ASA OS 版本,nat 命令会有很大不同。但其理念是将每个未使用的公共 IP 静态 NAT 到内部对应 IP。
例子:
10.40.40.2 static NAT to 80.50.100.67
10.40.40.3 static NAT to 80.50.100.68
10.40.40.4 static NAT to 80.50.100.69