我们正在将 ASA5505 升级到 ASA5510。我有一个共置服务器,在两个不同的子网上配置了 3 个公共 IP 地址范围。5505 运行正常。
示例(修改后的 IP):174.136.1.1、72.249.1.1、72.249.2.1
防火墙被分配到 174.136.1.2。当将 5510 联机时,如果为以下范围内的任何 IP 地址创建 NAT 规则,则流量无法正确路由:72.249.1.1、72.249.2.1
- 当将服务器分配给与防火墙位于同一子网的 IP 时,我确认数据包路由正确。
- 为 IP 范围 72.249.1.1 和 72.249.2.1 配置附加 VLAN 时,所有数据包都正确路由。我在防火墙和数据中心路由器之间放置了一个交换机。但是我们没有足够的 IP 分配给附加 VLAN。
- 我尝试创建到 72.249.1.1、72.249.2.1 的静态路由,但没有成功。
- 数据包跟踪结果是肯定的,但我不确定我是否做得正确。
- 我确实看到 5505 上有动态 NAT 规则,而 5510 上有动态 PAT 规则。我不清楚两者有什么区别。我想我曾尝试在 5510 上切换它,但没有成功。
- 我正在研究 5510 上的子接口,但不确定这是否是解决方案。
我们只有很短的时间进行防火墙升级,而且通常是深夜。我尝试了多次,但都没有成功。我无法在办公室创建测试平台环境。我可能会从数据中心请求另一个 drop 以进行测试。任何帮助都将不胜感激。我可以发布完整的配置。
答案1
你会需要arp 允许-非连接以使 NAT 正常工作。
arp 允许-非连接
要使 ARP 缓存也包含非直接连接的子网,请在全局配置模式下使用 arp permit-nonconnected 命令。要禁用非连接子网,请使用此命令的 no 形式。
使用指南
默认情况下,ASA ARP 缓存仅包含来自直接连接子网的条目。当存在 no arp permit-nonconnected 命令(默认行为)时,如果收到的 ARP 数据包与连接接口位于不同的子网中,ASA 将拒绝传入的 ARP 请求和 ARP 响应。
请注意,如果在 ASA 上配置了 PAT,并且 PAT 的虚拟 IP 地址(映射)与连接接口位于不同的子网中,则第一种情况(默认行为)会导致失败。
此外,除非您了解安全风险,否则我们不建议启用此功能。此功能可能有助于针对 ASA 的拒绝服务 (DoS) 攻击;任何接口上的用户都可能发送许多 ARP 回复,并用错误条目使 ASA ARP 表超载。
如果您使用以下设备,则可能需要使用此功能:
- 次要子网。
- 相邻路由上的代理 ARP 进行流量转发。
例子
以下示例启用非连接子网:
ciscoasa(config)# arp permit non-connected