外部介面上的 ASA 5510 輔助公共 IP 範圍
我們正在從 ASA5505 升級到 ASA5510。我為兩個不同子網上的 3 個公共 IP 地址範圍配置了一個託管位置。5505 按預期工作。
範例(修改後的 IP):174.136.1.1、72.249.1.1、72.249.2.1
防火牆分配給 174.136.1.2。使 5510 聯機時,為以下範圍內的任何 IP 地址創建 NAT 規則時,流量不會正確路由:72.249.1.1、72.249.2.1
- 在將伺服器分配給與防火牆位於同一子網的 IP 時,我確認數據包路由正確。
- 為 IP 範圍 72.249.1.1 和 72.249.2.1 配置其他 VLAN 時,所有數據包都正確路由。我在防火牆和數據中心路由器之間放置了一個開關。但是,我們沒有足夠的 IP 分配給其他 VLAN。
- 我嘗試創建到 72.249.1.1、72.249.2.1 的靜態路由,但沒有成功。
- 數據包跟踪結果是肯定的,但我不確定我是否做得正確。
- 我確實看到了 5505 上的動態 NAT 規則與 5510 上的動態 PAT 規則。我不清楚有什麼區別。我想我試圖在 5510 上切換它,但沒有運氣。
- 我正在研究 5510 上的子介面,但我不確定這是否是解決方案。
我們有一個小視窗來進行防火牆升級,通常是在深夜。我已經嘗試了多次,但沒有運氣。我無法在辦公室創建測試台環境。出於測試目的,我可能會要求從數據中心再次刪除。任何幫助,將不勝感激。我可以發布完整的配置。
您需要啟用arp permit-nonconnected才能使 NAT 正常工作。
arp 許可-未連接
要使 ARP 記憶體也包括非直接連接的子網,請在全域配置模式下使用 arp permit-nonconnected 命令。要禁用未連接的子網,請使用此命令的 no 形式。
使用指南
預設情況下,ASA ARP 記憶體僅包含來自直接連接的子網的條目。當存在 no arp permit-nonconnected 命令(預設行為)時,ASA 會拒絕傳入的 ARP 請求和 ARP 響應,以防收到的 ARP 數據包與連接的介面位於不同的子網中。
請注意,如果在 ASA 上配置了 PAT,並且 PAT 的虛擬 IP 地址(映射)與連接的介面位於不同的子網中,則第一種情況(預設行為)會導致失敗。
此外,除非您知道安全風險,否則我們不建議啟用此功能。此功能可以促進針對 ASA 的拒絕服務 (DoS) 攻擊;任何介面上的使用者都可以發送許多 ARP 回复,並使用虛假條目使 ASA ARP 表過載。
如果您使用以下功能,您可能需要使用此功能:
- 輔助子網。
- 相鄰路由上的代理 ARP 用於流量轉發。
例子
以下範例啟用未連接的子網:
ciscoasa(config)# arp permit non-connected