我有一台 Cisco ASA,通过私有链路路由 /32 个公共地址(非 RFC-1812)。当设备看到目标地址时,它会选择私有路由,而不是通过公共网络。这很有效,但我现在试图从私有路由中排除 4 个 IP。到这些地址的流量应该通过公共互联网,而不是通过私有网络路由。我是否可以为这四个 IP 添加另一条路由,还是必须修改 /32 的现有路由?
答案1
路由决策由最长前缀匹配决定。例如,当您在 dmz1 接口上路由网络 192.168.0.0/24 时,并且想要在 dmz2 接口上路由 192.168.0.1/32,那么只需添加路由即可
route dmz2 192.168.0.1 255.255.255.255 a.b.c.d
因为前缀 /32 比 /24 长。
/32 是可能的最长前缀匹配。因此,在您的配置中,您必须删除四个主机的路由并添加新路由(CLI)。如果您使用 ASDM,则可以编辑路由。
答案2
不,最好先添加一个 ACL,阻止通过私有网络接口路由的 4 个 IP,然后设置路由以将它们通过公共网络。您需要先确定流量进入网络的路由逻辑,然后将其分配给正确的接口。