Назад | Перейти на главную страницу

Cisco ASA 5505 Проблема маршрутизации внутри интерфейса

У меня топология сети по следующей ссылке, пожалуйста, обратитесь к ней: http://www.gigapac.com/wp-content/uploads/2012/03/topology.png

  1. Между двумя маршрутизаторами Cisco работает IPSec VPN.
  2. Межсетевой экран ASA имеет два интерфейса e0 / 0 (внешний) и e0 / 1 (внутренний) и в настоящее время настроен для работы в качестве шлюза по умолчанию для ПК в локальной сети.
  3. Я также добавил маршрут в ASA, который направляет 192.168.51.0/24 через интерфейс 192.168.139.253 (внутренний).
  4. ПК с IP-адресом 192.168.139.21 не может установить RDP-соединение с 192.168.51.21. Но когда я устанавливаю статический маршрут на ПК и маршрутизирую 192.168.51.0/24 через 192.168.139.253, тогда сеанс RDP работает.

  5. Я также включил следующую команду:

    разрешение одинакового трафика внутри интерфейса

Но все равно не повезло. Мне нужно делать "без нат-контроля" или делать статические переводы?

ASA видит только половину потока трафика.

Пакет SYN от ПК на 192.168.139.21 будет отправлен на ASA, который будет отслеживать его, а затем пересылать по маршруту на 192.168.139.253. Этот маршрутизатор отправит SYN на маршрутизатор на 192.168.51.1 и на машину на 192.168.51.21.

Пакет SYN + ACK будет отправлен обратно маршрутизатору на 192.168.51.1, через туннель IPSec на маршрутизатор на 192.168.139.253 и на ПК без прохождения через ASA. Когда пакет ACK отправляется от клиента, ASA отбрасывает пакет, поскольку он не видел SYN + ACK обратно от машины на 192.168.51.21.

Чтобы исправить это, ASA необходимо видеть трафик в обоих направлениях. Есть много решений - одним из них может быть перемещение Fa0 маршрутизатора 192.168.139.253 на внешний интерфейс ASA.