Назад | Перейти на главную страницу

Как разрешить широковещательную передачу UDP между интерфейсами на Cisco ASA 5506-X

У меня есть CISCO ASA 5506-X с 4 настроенными интерфейсами и набором списков доступа и т. Д. Он настраивается через интерфейс командной строки и работает в маршрутизируемом режиме, а не в прозрачном режиме. Все работает хорошо, но теперь у меня есть проблема, которую я еще не мог решить:

Один из интерфейсов содержит подсеть (192.168.2. *) С устройствами, которые отправляют широковещательную рассылку UDP для обнаружения устройств другого типа. Эти другие устройства находятся в другой подсети в другом интерфейсе (192.168.3. *). UDP-трансляция является глобальной (255.255.255.255) на определенный порт.

Я хочу, чтобы глобальная широковещательная рассылка UDP, отправленная в 192.168.2. *, Также отправлялась на 192.168.3. * - и, конечно же, чтобы разрешить обратный путь.

На других устройствах Cisco я уже обнаружил, что это можно сделать с ip helper-address и ip forward-protocol команды, но, насколько я понимаю, модели ASA не поддерживают их.

Итак, как мне получить глобальную широковещательную передачу UDP через интерфейсы?

Я думаю, проблема здесь в том, что вы неправильно понимаете, что означает 255.255.255.255. Это не «глобальная трансляция». Определение из RFC (https://tools.ietf.org/html/rfc919):

"Адрес 255.255.255.255 обозначает широковещательную рассылку в локальной аппаратной сети, которая не должна пересылаться. Этот адрес может использоваться, например, хостами, которые не знают свой сетевой номер и запрашивают его у какого-то сервера. Таким образом, хост в сети 36, например, может:

  • широковещательная передача всем своим ближайшим соседям с использованием 255.255.255.255
  • транслировать на всю сеть 36 с помощью 36.255.255.255

В вашем случае хост 192.168.3.0/24, отправляющий широковещательную рассылку на 255.255.255.255, говорит, что отправьте его всем хостам в 192.168.3.0/24. Это то же самое, что и отправка пакета на 192.168.3.255. Если хост в .3 хочет отправить широковещательную рассылку на .2, он должен отправить пакет на 192.168.2.255. Ретрансляция трансляций из .3 в .2, по сути, означает, что вы хотите сделать их одной и той же подсетью, оставив их как разные подсети. (обычное другое название подсети - "широковещательный домен")

Что за ip helper и ip forward-protocol и ASA dhcprelay команды делают, чтобы захватить трансляция пакет и переслать его как одноадресная передача пакет на конкретный хост. обычно это удаленный DHCP-сервер, но есть и другие варианты использования. Это явно указано в первом абзаце документа Checkpoint, ссылка на который приведена в предыдущем ответе. Это можно рассматривать как своего рода NAT. т.е. адрес назначения (255.255.255.255) изменен на указанный одноадресный IP-адрес 192.168.3.10. а затем маршрутизируется как обычный одноадресный пакет. Это отлично работает для DHCP и позволяет DHCP-серверу находиться в удаленной сети и по-прежнему получать и отвечать на запросы DHCP, но, к сожалению, даже если ASA поддерживает ip helper и ip forward-protocol команд он по-прежнему не может решить вашу проблему. Ваш запрос нарушает RFC и определение подсети.

Самое простое решение здесь - объединить 2 подсети в 192.168.2.0/23, затем соединить 2 интерфейса и использовать ASA в прозрачном режиме для фильтрации трафика между двумя наборами хостов.

Если вы не можете этого сделать, вам нужно разработать более масштабируемый способ, позволяющий вашим устройствам находить друг друга. Либо отправляйте широковещательные рассылки на соответствующие широковещательные адреса своих подсетей (192.168.3.255 и 192.168.2.255), либо используя какой-либо другой метод обнаружения. 255.255.255.255 не является масштабируемым или гибким решением.

В текущей версии для этого нет функции (вероятно, из соображений безопасности). Вместо этого Cisco реализовала «dhcprelay» и не предоставила средства для более общей пересылки широковещательных сообщений.

Я бы предложил добавить другое устройство вне ASA FW, которое могло бы выполнять ту же роль (возможно, маршрутизатор Cisco или компьютер Linux). Вам нужно будет разрешить «направленную трансляцию» через ASA.

Вы также можете рассмотреть возможность использования другой платформы межсетевого экрана, которая поддерживает широковещательную ретрансляцию, например межсетевого экрана Checkpoint.

Смотреть Вот чтобы увидеть, как он настроен