iT邦幫忙

0

Cisco ASA 5510真的不支援路由Routeing?


已經在ASA 5510的Static Routes設定了
#route inside 10.1.0.0 255.255.0.0 10.0.0.253 1

PC端也設定default gateway:10.0.0.254
ping 10.1.0.0/16的網段無回應。
trace 10.1.0.0/16的網段無回應。

ASA5510沒有路由功能嗎,那設定ASA的static routes的用途是?
網路爬文的結果
1.同一個 interface 不能打回頭,無論 inside / outside / dmz 都一樣。
2.(香港文章)PIX 唔 support local redirect. 反彈 packet 必閘。
反轉 default 指去 mpls 果隻 router,再 set default route 去 PIX 咁就 work。
3. ASA並沒有路由功能,而且Switch port上會有防Flood機制,也就是說同一封包要轉送時從同一個port去回是會被drop掉的

Cisco的官方文件"Configuring Static and Default Routes"
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/route\_static.html

MPLS 繞不對也是問題
把Gateway改10.0.0.253

如果他能正確來回才有機會
kelvin2 iT邦新手 4 級 ‧ 2013-05-25 07:03:30 檢舉
你的架構圖少了一個L3 switch
因為你的PC在同個網段有2個Gateway
在L3 switch 切2個Vlan routing interface
10.0.0.0往Internet
10.1.0.0往MPLS VPN
加兩筆路由
ip route 0.0.0.0 0.0.0.0 10.0.0.254
ip route 10.1.0.0 255.255.255.0 10.1.0.253
奇怪我為什麼是最佳解答感謝
4
kelvin2
iT邦新手 4 級 ‧ 2013-05-22 10:01:24
最佳解答

請問你的內部Interface IP有設定了嗎

davi666 iT邦新手 5 級 ‧ 2013-05-22 13:36:23 檢舉

ASA 5510目前負責Internet上網服務,正常工作,MPLS是目前加入的設備,煩惱著可以讓ASA擔任Router的工作嗎?

8
zyman2008
iT邦大師 8 級 ‧ 2013-05-22 20:54:03

因為ASA的應用是security/firewall,所以預設的設定在packet forward的限制比router多,並不是他沒有路由功能.

你的case需要在ASA上作下列設定,
1.允許封包從同一個interface(10.0.0.254)進去,再forward出來(to 10.0.0.253).
因為ASA預設不允許這樣的行為(你的爬文的第1點).請下下列command.
(config)# same-security-traffic permit intra-interface

2.設定NAT例外規則(10.0.0.0/24 <-> 10.1.0.0/16 不做NAT)
請下下列command.
(config)# access-list no_nat extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.0.0
(config)# access-list no_nat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.255.0
(config)# nat (inside) 0 access-list no_nat

看更多先前的回應...收起先前的回應...
davi666 iT邦新手 5 級 ‧ 2013-05-23 02:50:26 檢舉

zyman2008

謝謝zyman2008大

明天來試試,但想問一下ASA預設封包不能在同一個port進與出,是有什麼安全上的考量,開了此功能會有什麼風險,小弟愚鈍,不懂這功能會有什麼漏洞。

謝謝

davi666 iT邦新手 5 級 ‧ 2013-05-24 00:32:42 檢舉

已經設定完成,工作正常
接下來就是壓力測試了

謝謝

zyman2008 iT邦大師 8 級 ‧ 2013-05-24 13:15:44 檢舉

是否有安全上疑慮,要看架構與應用.
如果在應用上,所有packet都應該是從這邊進,由另一邊出.那同進同出的packet就是可疑的.
但如果設備本身有提供reverse proxy或如你所要的routing,那符合架構設計的packet同進同出,就是正常的.
只能說ASA一開始的設計是承襲PIX,預設上是用來檢查與過濾從一邊進,由另一邊出的應用,路由器是有另一個設備擔任.
只是大家還是習慣把它順便作路由器用,才會需要調整設定讓行為像個路由器.

davi666 iT邦新手 5 級 ‧ 2013-05-24 15:47:22 檢舉

zyman2008大料事如神,遇到TCP State的問題了,目前只有ICMP通。目前查到set connection advanced-options tcp-state-bypass似乎跟TCP不通有關,他預設也是disable的。

2
tomluquan
iT邦新手 2 級 ‧ 2013-05-23 16:09:52

zyman2008大的回應是正解。

我要發表回答

立即登入回答