Это менее вероятная ошибка и, скорее, отсутствие моего понимания маршрутизации.
У меня проблема с асимметричной маршрутизацией, при которой обратный трафик выходит из неправильного брандмауэра. У меня есть явный статический маршрут, указывающий, что нужно перейти к правильному внутреннему адресу брандмауэра, но он игнорируется и перемещается по маршруту по умолчанию.
Server A Server B
(10.0.12.7) (10.1.12.100)
| |
4500 ---------> 6500 ----------> PIX (in:10.0.11.200 out:172.16.0.162)
(10.0.11.2) (10.0.11.1) `-----> ASA (in:10.0.11.201 out:172.16.0.165)
Примечание: все описанные здесь сети / 24
Исходный трафик поступает из сети 10.50.1.0/24, которая подключена через vpn к ASA. Если трафик идет куда-то в сеть 10.1.12.0/24, все в порядке.
Если трафик идет к Серверу A на 10.0.12.7, ASA сообщает о проблеме с асимметричным маршрутом.
4500 содержит строку: ip route 10.50.1.0 255.255.255.0 10.0.11.1 6500 содержит строку: ip route 10.50.1.0 255.255.255.0 10.0.11.201
Когда я пингую с 6500, используя разные vlan в качестве IP-адреса источника, это происходит;
6500#ping
Protocol [ip]:
Target IP address: 10.50.1.11
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.0.11.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.50.1.11, timeout is 2 seconds:
Packet sent with a source address of 10.0.11.1
.....
Success rate is 0 percent (0/5)
6500#ping
Protocol [ip]:
Target IP address: 10.50.1.11
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.0.12.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.50.1.11, timeout is 2 seconds:
Packet sent with a source address of 10.0.12.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
Как вы можете видеть, он правильно маршрутизирует, когда я отправляю из vlan, мои серверы включены. Когда он отправляется из vlan, мои коммутаторы подключаются друг к другу, он не работает.
При проверке связи через 4500, следующий переход после ответа обоих брандмауэров, а не внешний интерфейс PIX, как я сначала думал ... После того, как я понял это, я проверил ASA и обнаружил, что по какой-то причине Id добавил глобальный nat, который включал Подсеть 10.0.0.0/16, которая собирала трафик, исходящий из подсети 4500, но не из подсети 10.1.0.0/16.
Извините за трату времени людей.