Firewall

Cisco ASA 5520 上的公共子網配置

  • April 17, 2012

我正在嘗試設置 Cisco ASA 5520 作為我們數據中心設置的主要入口點。此設置包括:

  • 雲伺服器配置中使用的三個專用網路(管理、SAN 和備份)
  • 一個可公開訪問的 /26 子網,用於客戶伺服器和雲伺服器配置

所以網路定義為:

Subnet        80.50.100.64/26
ISP Gateway   80.50.100.65

Management    10.10.10.0/24
SAN           10.20.20.0/24
Backup        10.30.30.0/24

目前有一些客戶伺服器已經線上,使用 Catalyst 3548XL 將它們連接到網際網路。目前的情況是這樣的:

ISP Uplink ---> Cisco Catalyst 3548XL  
                  |--> Customer servers on /26 subnet, using ISP gateway
                  |--> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway)
                        |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
                        |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
                        |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack

我想要實現的是將 Catalyst 放在 ASA 後面,因此 ISP 上行鏈路連接到 ASA,/26 子網連接到 ASA 後面的“內部”埠(我認為是 DMZ 設置? )。最好仍然使用 ISP 網關 (.65) 作為 /26 子網的網際網路網關,這樣我就不必聯繫我的客戶來更新他們的網路配置。如果我正確理解文件,這應該只能使用透明防火牆設置,但由於 ASA 不支持透明和路由安全上下文的混合,我肯定需要為我的私有網路進行路由配置,這應該很難實現。但是,如果我錯了,請糾正我。

目前唯一的解決方案似乎是將 ASA 作為附加躍點引入,使其成為 /26 子網的網關。我完全不知道如何設置它,我真的希望有人能給我一些關於如何實現這一點的指示。

所需的設置如下所示:

ISP Uplink ---> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway (.65)
                 |--> Public subnet (Don't know what the IP config should be)
                 |        |--> Cisco Catalyst 3548XL
                 |                 |--> Customer servers on /26 subnet (Gateway = ?)
                 |                 |--> Cloud setup public connections (Gateway = ?)
                 |
                 |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
                 |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
                 |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack

我認為一個解決方案是將 ASA 外部設置為80.50.100.66netmask 255.255.255.252,將公共內部介面設置80.50.100.67為 /26 子網的其餘部分,但 ASA 不允許我這樣做,因為子網會重疊,所以現在我’我卡住了!

為了能夠將 /26 安裝在 ASA“內部”,您需要一個連結網(可能是 /30),您的 isp 的路由器和 ASA 可以在其中進行通信。但是,一種選擇是使用 1:1 NAT,以防您無法輕鬆獲得這樣的連結網。

我的一個客戶有一個 /19 網路,所以我將 100.100.0.0/30 設置為連結網路,除此之外的任何東西(100.100.1-31./24 等)都在 asa 後面,進一步分為多個 /24 , /29’s, /30’s 等,每個都駐留在自己的 VLAN 中。

因此,我最好的建議是向您的提供商索取連結網,並將您的 /26 放在 ASA 後面 - 或者簡單地使用 NAT 1:1(在我看來,它不夠靈活,並且會在轉換時產生更多潛在的配置,從而產生問題到 IPv6)。

要實現 NAT 1:1,請使用 RFC1918 CIDR(例如 10.40.40.0/24)設置介面(或子介面),讓 ASA 有一個地址(通常為 .1 或 .254)。將所有 DMZ 主機放入此子網,將 ASA IP 作為預設網關。根據您執行的 nat 命令的 Cisco ASA 作業系統版本,會有很大差異。但這個想法是為每個未使用的公共 IP 對內部對應物進行靜態 NAT。

例子:

10.40.40.2 static NAT to 80.50.100.67
10.40.40.3 static NAT to 80.50.100.68
10.40.40.4 static NAT to 80.50.100.69

引用自:https://serverfault.com/questions/380143