Cisco ASA 5520 上的公共子網配置
我正在嘗試設置 Cisco ASA 5520 作為我們數據中心設置的主要入口點。此設置包括:
- 雲伺服器配置中使用的三個專用網路(管理、SAN 和備份)
- 一個可公開訪問的 /26 子網,用於客戶伺服器和雲伺服器配置
所以網路定義為:
Subnet 80.50.100.64/26 ISP Gateway 80.50.100.65 Management 10.10.10.0/24 SAN 10.20.20.0/24 Backup 10.30.30.0/24
目前有一些客戶伺服器已經線上,使用 Catalyst 3548XL 將它們連接到網際網路。目前的情況是這樣的:
ISP Uplink ---> Cisco Catalyst 3548XL |--> Customer servers on /26 subnet, using ISP gateway |--> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway) |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
我想要實現的是將 Catalyst 放在 ASA 後面,因此 ISP 上行鏈路連接到 ASA,/26 子網連接到 ASA 後面的“內部”埠(我認為是 DMZ 設置? )。最好仍然使用 ISP 網關 (.65) 作為 /26 子網的網際網路網關,這樣我就不必聯繫我的客戶來更新他們的網路配置。如果我正確理解文件,這應該只能使用透明防火牆設置,但由於 ASA 不支持透明和路由安全上下文的混合,我肯定需要為我的私有網路進行路由配置,這應該很難實現。但是,如果我錯了,請糾正我。
目前唯一的解決方案似乎是將 ASA 作為附加躍點引入,使其成為 /26 子網的網關。我完全不知道如何設置它,我真的希望有人能給我一些關於如何實現這一點的指示。
所需的設置如下所示:
ISP Uplink ---> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway (.65) |--> Public subnet (Don't know what the IP config should be) | |--> Cisco Catalyst 3548XL | |--> Customer servers on /26 subnet (Gateway = ?) | |--> Cloud setup public connections (Gateway = ?) | |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
我認為一個解決方案是將 ASA 外部設置為
80.50.100.66
netmask255.255.255.252
,將公共內部介面設置80.50.100.67
為 /26 子網的其餘部分,但 ASA 不允許我這樣做,因為子網會重疊,所以現在我’我卡住了!
為了能夠將 /26 安裝在 ASA“內部”,您需要一個連結網(可能是 /30),您的 isp 的路由器和 ASA 可以在其中進行通信。但是,一種選擇是使用 1:1 NAT,以防您無法輕鬆獲得這樣的連結網。
我的一個客戶有一個 /19 網路,所以我將 100.100.0.0/30 設置為連結網路,除此之外的任何東西(100.100.1-31./24 等)都在 asa 後面,進一步分為多個 /24 , /29’s, /30’s 等,每個都駐留在自己的 VLAN 中。
因此,我最好的建議是向您的提供商索取連結網,並將您的 /26 放在 ASA 後面 - 或者簡單地使用 NAT 1:1(在我看來,它不夠靈活,並且會在轉換時產生更多潛在的配置,從而產生問題到 IPv6)。
要實現 NAT 1:1,請使用 RFC1918 CIDR(例如 10.40.40.0/24)設置介面(或子介面),讓 ASA 有一個地址(通常為 .1 或 .254)。將所有 DMZ 主機放入此子網,將 ASA IP 作為預設網關。根據您執行的 nat 命令的 Cisco ASA 作業系統版本,會有很大差異。但這個想法是為每個未使用的公共 IP 對內部對應物進行靜態 NAT。
例子:
10.40.40.2 static NAT to 80.50.100.67 10.40.40.3 static NAT to 80.50.100.68 10.40.40.4 static NAT to 80.50.100.69