使用 ASA-5510 直接連接的子網之間的路由問題
這是我一直在努力解決的一個問題,答案似乎很簡單(不是所有的 IT 問題嗎?)。
這就是使用 ASA 在兩個直接連接的子網之間傳遞流量的問題
雖然我知道最佳做法是擁有 Internet -> 防火牆 -> 路由器,但在許多情況下這是不可能的。
例如,In 有一個具有兩個介面的 ASA,名為 OutsideNetwork (10.19.200.3/24) 和 InternalNetwork (10.19.4.254/24)。您可能希望 Outside 能夠訪問 10.19.4.1 或至少 10.19.4.254,但 ping 介面只會帶來壞消息。
命令的結果:“ping OutsideNetwork 10.19.4.254”
鍵入轉義序列以中止。
向 10.19.4.254 發送 5 個 100 字節的 ICMP Echo,超時為 2 秒:
?????
成功率為 0% (0/5)
自然,您會假設您可以添加靜態路由,但無濟於事。
$$ ERROR $$route Outsidenetwork 10.19.4.0 255.255.255.0 10.19.4.254 1
無法添加路由,已連接路由存在
此時,您可能會懷疑它是否是 NAT 或訪問列表問題。
訪問列表 Outsidenetwork_access_in 擴展許可 ip 任何任何
訪問列表 Internalnetwork_access_in 擴展許可 ip 任何任何
沒有動態 nat(或就此而言的靜態 nat),並且允許未經處理的流量。
當我嘗試 ping 上述地址(來自 Externalnetwork 的 10.19.4.254)時,我從 0 級日誌記錄(調試)中收到此錯誤消息。
路由找不到從 NP Identity Ifc:10.19.200.3/0 到 Outsidenetwork:10.19.4.1/0 的 icmp 的下一跳
這導致我設置了same-security traffic permit,並在兩個介面之間分配了相同、更小和更大的安全編號。
我是否忽略了一些明顯的東西?是否有命令設置分類高於連接路由的靜態路由?
你的問題有幾個問題。首先,我自然不會認為我可以從外部網路進入內部網路。ASA 是防火牆而不是路由器。如果它這樣做了,它就不會做它的工作。路由器會很好地做到這一點。
第二個主要問題是您的 route 命令。你不需要它。您有 2 個本地連接的網路。防火牆知道如何訪問它們。它們直接相連。因此,您不需要路由命令來告訴防火牆下一跳是什麼。
把這些東西排除在外,讓我們來回答一下。ASA 要求每個網路都附加一個從 0 到 100 的安全級別。較高的安全級別將能夠訪問較低的安全級別。較低的安全級別需要明確授予對較高級別資源的訪問權限。因此,讓我們從分配適當的安全級別開始:
interface ethernet 0/0
nameif 外部
安全級別 0
ip 地址 10.19.200.3 255.255.255.0
interface ethernet 0/1
nameif 內部
安全級別 100
ip address 10.19.4.254 255.255.255.0
現在您的內部網路被允許訪問您的外部網路。如果您需要允許您的外部網路訪問您的內部網路,您需要在訪問列表中定義它並將其分配給訪問組中的介面:
access-list outside_access_in 擴展允許 ip 任何任何
訪問組 outside_access_in 在介面外
但它仍然不起作用?可能是因為您需要定義從一個網路到另一個網路的靜態映射。否則防火牆不知道該怎麼做。請記住,這是防火牆,而不是路由器:
靜態(內部,外部)10.19.4.0 10.19.4.0 網路遮罩 255.255.255.0
靜態(外部,內部)10.19.200.0 10.19.200.0 網路遮罩 255.255.255.0
就是這樣……你應該在兩個介面之間自由流動……真的違背了防火牆的目的,但它似乎是你想要的。至少它為您提供了一個起點,您可以從那裡限制流量。