Cisco

外部介面上的 ASA 5510 輔助公共 IP 範圍

  • January 18, 2016

我們正在從 ASA5505 升級到 ASA5510。我為兩個不同子網上的 3 個公共 IP 地址範圍配置了一個託管位置。5505 按預期工作。

範例(修改後的 IP):174.136.1.1、72.249.1.1、72.249.2.1

防火牆分配給 174.136.1.2。使 5510 聯機時,為以下範圍內的任何 IP 地址創建 NAT 規則時,流量不會正確路由:72.249.1.1、72.249.2.1

  • 在將伺服器分配給與防火牆位於同一子網的 IP 時,我確認數據包路由正確。
  • 為 IP 範圍 72.249.1.1 和 72.249.2.1 配置其他 VLAN 時,所有數據包都正確路由。我在防火牆和數據中心路由器之間放置了一個開關。但是,我們沒有足夠的 IP 分配給其他 VLAN。
  • 我嘗試創建到 72.249.1.1、72.249.2.1 的靜態路由,但沒有成功。
  • 數據包跟踪結果是肯定的,但我不確定我是否做得正確。
  • 我確實看到了 5505 上的動態 NAT 規則與 5510 上的動態 PAT 規則。我不清楚有什麼區別。我想我試圖在 5510 上切換它,但沒有運氣。
  • 我正在研究 5510 上的子介面,但我不確定這是否是解決方案。

我們有一個小視窗來進行防火牆升級,通常是在深夜。我已經嘗試了多次,但沒有運氣。我無法在辦公室創建測試台環境。出於測試目的,我可能會要求從數據中心再次刪除。任何幫助,將不勝感激。我可以發布完整的配置。

您需要啟用arp permit-nonconnected才能使 NAT 正常工作。

arp 許可-未連接

要使 ARP 記憶體也包括非直接連接的子網,請在全域配置模式下使用 arp permit-nonconnected 命令。要禁用未連接的子網,請使用此命令的 no 形式。

使用指南

預設情況下,ASA ARP 記憶體僅包含來自直接連接的子網的條目。當存在 no arp permit-nonconnected 命令(預設行為)時,ASA 會拒絕傳入的 ARP 請求和 ARP 響應,以防收到的 ARP 數據包與連接的介面位於不同的子網中。

請注意,如果在 ASA 上配置了 PAT,並且 PAT 的虛擬 IP 地址(映射)與連接的介面位於不同的子網中,則第一種情況(預設行為)會導致失敗。

此外,除非您知道安全風險,否則我們不建議啟用此功能。此功能可以促進針對 ASA 的拒絕服務 (DoS) 攻擊;任何介面上的使用者都可以發送許多 ARP 回复,並使用虛假條目使 ASA ARP 表過載。

如果您使用以下功能,您可能需要使用此功能:

  • 輔助子網。
  • 相鄰路由上的代理 ARP 用於流量轉發。

例子

以下範例啟用未連接的子網:

ciscoasa(config)# arp permit non-connected

引用自:https://serverfault.com/questions/749984