服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 外部接口上的ASA 5510辅助公用IP范围
Intereting Posts
在Exchange 2003 SP2上禁用读取回执答复 如何为每个目录设置不同的umask? 在IIS 7.0上按设定的时间间隔自动重启Coldfusion Domino数据访问服务选项在其他服务器模式下不可用 适用于Windows和Linux服务器的最佳encryption备份解决scheme 如何configuration下载速度真的很慢 如何迁移,转储或恢复VirtualBox系统? 什么是一个好的串口到USB适配器? 在closureslinux之前仍然需要同步(8)的执行吗? 在ZFS支持的Lustre集群中,快照和克隆是文件系统范围内的吗? 何时在Xen VM上使用MySQL复制或DRBD进行HA? Apache重写 – redirect到example.com而不是example.com 在Debian上将SBS2003服务器虚拟化为KVM的问题 Windows 7 Pro蓝屏事件查看器事件ID 10 捕捉无响应/高负载MySQL,也许与监视?

外部接口上的ASA 5510辅助公用IP范围

我们正在从ASA5505升级到ASA5510。 我在两个不同的子网上为3个公用IP地址范围configuration了一个共址。 5505正在按预期工作。

示例(修改的IP):174.136.1.1,72.249.1.1,72.249.2.1

防火墙分配给了174.136.1.2。 使5510联机时,在为此范围内的任何IP地址创buildNAT规则时,stream量无法正确路由:72.249.1.1,72.249.2.1

  • 将服务器分配到与防火墙位于同一子网的IP时,我确认数据包路由正确。
  • 当为IP范围72.249.1.1和72.249.2.1configuration额外的VLAN时,所有的分组都正确地路由。 我在防火墙和数据中心路由器之间切换。 但是,我们没有足够的IP分配给其他VLAN。
  • 我试图创build一个静态路由到72.249.1.1,72.249.2.1,这是行不通的。
  • 数据包跟踪结果是积极的,但我不知道如果我正确地做。
  • 5505上的dynamicNAT规则和5510上的dynamicPAT规则我都看到了。我不清楚它们有什么区别。 我想我已经试图在5510上切换,没有运气。
  • 我正在研究5510的子接口,但我不确定这是否是解决scheme。

我们有一个小窗口来做防火墙升级,通常是深夜。 我已经尝试了多次,没有运气。 我不能在办公室创buildtesting环境。 为了testing目的,我可能会要求从数据中心再次下载。 任何帮助,将不胜感激。 我可以发布完整的configuration。

您需要启用arp permit-nonconnected以使NAT正常工作。

arp许可 – 非连接

要使ARPcaching也包含非直连子网,请在全局configuration模式下使用arp permit-nonconnected命令。 要禁用未连接的子网,请使用此命令的noforms。

使用指南

ASA ARPcaching默认只包含来自直接连接的子网的条目。 如果存在no arp permit-nonconnected命令(默认行为),则在收到的ARP数据包与连接的接口不在同一子网的情况下,ASA会拒绝传入的ARP请求和ARP响应。

请注意,第一种情况(缺省行为)导致在ASA上configurationPAT时出现故障,而PAT的虚拟IP地址(已映射)与连接的接口不在同一子网中。

另外,除非您知道安全风险,否则我们不build议启用此function。 此function可能会促进针对ASA的拒绝服务(DoS)攻击; 任何接口上的用户都可以发出很多ARP回复,并且用虚假的条目重载ASA ARP表。

如果您使用以下function,您可能需要使用此function:

  • 次要子网。
  • 相邻路由上的代理ARP进行stream量转发。

例子

以下示例启用未连接的子网:

ciscoasa(config)# arp permit non-connected