这是我一直在努力的一个问题,看似简单的答案(并非所有的IT问题?)。
这就是在两个直接连接的子网之间通过ASA传输stream量的问题
虽然我知道最好的做法是有互联网 – >防火墙 – >路由器,在许多情况下,这是不可能的。
例如,In有一个带有两个接口的ASA,名为OutsideNetwork(10.19.200.3/24)和InternalNetwork(10.19.4.254/24)。 你可以期望Outside能够达到10.19.4.1,或者至less达到10.19.4.254,但是ping接口只会带来坏消息。
命令的结果:“ping OutsideNetwork 10.19.4.254”
键入转义序列以中止。
发送5个100字节的ICMP回声到10.19.4.254,超时时间为2秒:
?????
成功率为0%(0/5)
当然,你会认为你可以添加一个静态路由,无济于事。
[错误]路由Outsidenetwork 10.19.4.0 255.255.255.0 10.19.4.254 1
不能添加路由,连接路由存在
在这一点上,你可能会有一个NAT或访问列表的问题。
访问列表Outsidenetwork_access_in扩展许可ip任何任何
访问列表InternalNetwork_access_in扩展许可证ip任何任何
没有dynamicNAT(或静态NAT),并允许Unnattedstream量。
当我尝试ping上述地址(来自Outsidenetwork的10.19.4.254)时,从0级日志logging(debugging)中得到这个错误信息。
从NP Identity Ifc:10.19.200.3/0到Outsidenetwork:10.19.4.1/0,路由无法findicmp的下一跳
这导致我设置相同的安全stream量许可 ,并在两个接口之间分配相同的,更less和更多的安全编号。
我可以忽略明显的东西吗? 是否有命令设置分类高于连接路由的静态路由?
你的问题有几个问题。 首先,我不会自然而然地认为我可以从外部networking进入内部networking。 ASA是防火墙而不是路由器。 如果这样做,它不会做它的工作。 路由器会做到这一点很好。
第二个主要问题是你的路线命令。 你不需要它。 你有2个本地连接的networking。 防火墙知道如何到达他们两个。 他们直接相连。 因此,您不需要使用路由命令告诉防火墙下一跳是什么。
有了这些东西,让我们得到一个答案。 ASA要求每个networking都有一个从0到100的安全级别。 更高的安全级别将能够访问更低的安全级别。 较低的安全级别需要对较高级别的资源进行明确的访问。 那么让我们开始分配适当的安全级别:
接口以太网0/0
外面的名字
安全级别0
IP地址10.19.200.3 255.255.255.0接口以太网0/1
名称里面
安全级别100
IP地址10.19.4.254 255.255.255.0
现在你的内部networking被允许访问你的外部networking。 如果您需要允许您的外部networking访问您的内部networking,则需要将其定义在访问列表中,并将其分配给访问组中的接口:
访问列表outside_access_in扩展许可证ip任何任何
接口外部的access-group outside_access_in
但它仍然不工作? 可能是因为你需要定义从一个networking到另一个networking的静态映射。 否则,防火墙不知道该怎么做。 请记住,这是一个防火墙,而不是路由器:
静态(内部,外部)10.19.4.0 10.19.4.0networking掩码255.255.255.0
静态(外部,内部)10.19.200.0 10.19.200.0networking掩码255.255.255.0
就是这样…你应该有两个接口之间的自由stream动…真的打败了防火墙的目的,但它似乎是你想要的。 至less它给你一个起点,你可以限制从那里的stream量。
我不积极 – 但你的设置没有什么明显的错误 – 我认为问题在于你正在做的testing。
告诉路由器ping一个接口与另一个作为源地址是我不知道会起作用的 – 它可能假设你的意思是你想让stream量离开那个接口 – 在这种情况下是正确的,是没有路由那个IP。
您是否尝试过从外部设备而不是从路由器本身testing连接?
只要你没有一些ACL或NAT的地方,只要其他设备有适当的路线来达到这个东西,我看不出任何理由,这不只是普通的旧路由… …