Назад | Перейти на главную страницу

Маршрут игнорируется на основном коммутаторе Cisco 6500?

Это менее вероятная ошибка и, скорее, отсутствие моего понимания маршрутизации.

У меня проблема с асимметричной маршрутизацией, при которой обратный трафик выходит из неправильного брандмауэра. У меня есть явный статический маршрут, указывающий, что нужно перейти к правильному внутреннему адресу брандмауэра, но он игнорируется и перемещается по маршруту по умолчанию.

 Server A      Server B
(10.0.12.7)   (10.1.12.100)
     |              |
   4500 ---------> 6500 ----------> PIX (in:10.0.11.200 out:172.16.0.162)
(10.0.11.2)    (10.0.11.1)  `-----> ASA (in:10.0.11.201 out:172.16.0.165)

Примечание: все описанные здесь сети / 24

Исходный трафик поступает из сети 10.50.1.0/24, которая подключена через vpn к ASA. Если трафик идет куда-то в сеть 10.1.12.0/24, все в порядке.

Если трафик идет к Серверу A на 10.0.12.7, ASA сообщает о проблеме с асимметричным маршрутом.

4500 содержит строку: ip route 10.50.1.0 255.255.255.0 10.0.11.1 6500 содержит строку: ip route 10.50.1.0 255.255.255.0 10.0.11.201

Когда я пингую с 6500, используя разные vlan в качестве IP-адреса источника, это происходит;

6500#ping      
Protocol [ip]: 
Target IP address: 10.50.1.11
Repeat count [5]:           
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 10.0.11.1
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.50.1.11, timeout is 2 seconds:
Packet sent with a source address of 10.0.11.1 
.....
Success rate is 0 percent (0/5)

6500#ping      
Protocol [ip]: 
Target IP address: 10.50.1.11
Repeat count [5]: 
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 10.0.12.1
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.50.1.11, timeout is 2 seconds:
Packet sent with a source address of 10.0.12.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

Как вы можете видеть, он правильно маршрутизирует, когда я отправляю из vlan, мои серверы включены. Когда он отправляется из vlan, мои коммутаторы подключаются друг к другу, он не работает.

При проверке связи через 4500, следующий переход после ответа обоих брандмауэров, а не внешний интерфейс PIX, как я сначала думал ... После того, как я понял это, я проверил ASA и обнаружил, что по какой-то причине Id добавил глобальный nat, который включал Подсеть 10.0.0.0/16, которая собирала трафик, исходящий из подсети 4500, но не из подсети 10.1.0.0/16.

Извините за трату времени людей.