已經在ASA 5510的Static Routes設定了
#route inside 10.1.0.0 255.255.0.0 10.0.0.253 1
PC端也設定default gateway:10.0.0.254
ping 10.1.0.0/16的網段無回應。
trace 10.1.0.0/16的網段無回應。
ASA5510沒有路由功能嗎,那設定ASA的static routes的用途是?
網路爬文的結果
1.同一個 interface 不能打回頭,無論 inside / outside / dmz 都一樣。
2.(香港文章)PIX 唔 support local redirect. 反彈 packet 必閘。
反轉 default 指去 mpls 果隻 router,再 set default route 去 PIX 咁就 work。
3. ASA並沒有路由功能,而且Switch port上會有防Flood機制,也就是說同一封包要轉送時從同一個port去回是會被drop掉的
Cisco的官方文件"Configuring Static and Default Routes"
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/route_static.html
已邀請的邦友 {{ invite_list.length }}/5
因為ASA的應用是security/firewall,所以預設的設定在packet forward的限制比router多,並不是他沒有路由功能.
你的case需要在ASA上作下列設定,
1.允許封包從同一個interface(10.0.0.254)進去,再forward出來(to 10.0.0.253).
因為ASA預設不允許這樣的行為(你的爬文的第1點).請下下列command.
(config)# same-security-traffic permit intra-interface
2.設定NAT例外規則(10.0.0.0/24 <-> 10.1.0.0/16 不做NAT)
請下下列command.
(config)# access-list no_nat extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.0.0
(config)# access-list no_nat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.255.0
(config)# nat (inside) 0 access-list no_nat
已經設定完成,工作正常
接下來就是壓力測試了
謝謝
是否有安全上疑慮,要看架構與應用.
如果在應用上,所有packet都應該是從這邊進,由另一邊出.那同進同出的packet就是可疑的.
但如果設備本身有提供reverse proxy或如你所要的routing,那符合架構設計的packet同進同出,就是正常的.
只能說ASA一開始的設計是承襲PIX,預設上是用來檢查與過濾從一邊進,由另一邊出的應用,路由器是有另一個設備擔任.
只是大家還是習慣把它順便作路由器用,才會需要調整設定讓行為像個路由器.
zyman2008大料事如神,遇到TCP State的問題了,目前只有ICMP通。目前查到set connection advanced-options tcp-state-bypass似乎跟TCP不通有關,他預設也是disable的。
iThome鐵人賽
看影片追技術