我有个问题。我们实际上有一台 Cisco 1812 路由器,我们正在切换到 ASA 5512-X。问题是,ASA 5512-X 只有 6 个端口。1812 有 8 个。全部在使用中。
我们需要将 3 个公共 IP 地址转换为大楼内服务器的私有 IP 地址。我们还需要其他端口。我们现在的情况是,这 3 个 IP 地址是从路由器转换的。但是对于 ASA,我们没有足够的端口来执行此操作。
我的问题是,我可以将这 3 个 IP 地址从 ASA 通过蓝色端口(在我的图片中)转发到交换机(我认为我需要第 3 层?!)然后由交换机进行转换吗?
转换应该是:公共 IP A 从互联网进入 ASA,转发到交换机,交换机将其转换为正确的私有 IP。
答案1
这是部署 ASA 失败故事的典型开端。有人决定他需要 ASA 而不是路由器,并开始像路由器一样使用它。但 ASA 不完全是路由器,而是一种安全设备。它不是用来代替路由器的,而是用来和路由器。它能够完成路由器的部分任务,但这一事实却挡住了许多工程师的视线。
这种恶性循环的结束非常普遍:迟早需要用 ASA 做一些只有路由器才能做的事情(比如 VTI 隧道,或者任何具有动态路由功能的隧道),然后就会感到沮丧。
不要从路由器切换到 ASA。将它们一起使用。