我可能应该先解释一下地形,我们有两个不同的互联网连接,并配有独立的防火墙。一个是 ASA,一个是 Meraki,防火墙后面所有服务器的默认网关都是 ASA(10.100.200.1)。我遇到的问题是,我们在 Meraki(10.100.200.2)上有一个站点到站点,而发往站点到站点另一侧的子网(192.168.100.0)的流量找不到路径,因为它试图通过 ASA 的默认网关(10.100.200.1)。如果我在试图将流量发送到子网(192.168.100.0)的服务器上设置静态路由以使用 Meraki 的默认网关(10.100.200.2),它就可以正常工作。如何在 asa 上设置静态路由,以便通过 meraki 的任何流量都使用 meraki 的默认网关传出?
答案1
ASA 是 Cisco 的低端设备,因此该防火墙不支持 ICMP 重定向。因此,您无法使用 ASA。
您必须设置一些 GPO,或类似的替代方法来强制路由,或者升级真正的路由器的防火墙。
其工作方式是,当路由器发现计算机需要使用另一个网关时,路由器会向计算机发送 icmp 重定向,以将路由通告到正确的路由器/防火墙。之后计算机将继续使用该路由。
答案2
以下是在 ASA 上创建路由的命令,该路由将所有 192.168.100.x 流量指向 Meraki:
路由内部 192.168.100.0 255.255.255.0 10.100.200.2