У меня есть существующий Cisco ASA 5520, настроенный с подсетью / 28 на внешнем интерфейсе. Мой хостинг-провайдер только что предоставил мне новую несмежную подсеть / 28, которая маршрутизируется на внешний интерфейс моего ASA.
Вот текущая конфигурация IP
1.1.1.145 --> ISP Gateway
1.1.1.146 --> ISP Reserved
1.1.1.147 --> ISP Reserved
1.1.1.148 --> Primary ASA Outside Int
1.1.1.149 --> Secondary ASA Outside Int
1.1.1.150 - 1.1.1.158 --> Usable IPs
2.2.2.240 - 2.2.2.254 --> New Subnet, Routed to 1.1.1.148
Я пытался создать NAT на ASA, используя IP 2.2.2.240, но это, похоже, не работает. Насколько я понимаю, мне может потребоваться добавить маршрут на ASA, но я не уверен, что добавить.
Должно быть что-то вроде
route Outside 2.2.2.240 255.255.255.240 1.1.1.148 1
Если они направляют подсеть к вам (на адрес в старой подсети, принадлежащей ASA), то все, что вам нужно сделать, это NAT; ваш ASA не будет "владеть" одним из адресов для своего собственного интерфейса. Маршрутизация входящего трафика происходит после NAT, а маршрутизация исходящего трафика будет перехвачена вашим маршрутом по умолчанию.
Просто NAT должен работать нормально, значит, что-то не так с этой частью конфигурации; можете ли вы предоставить эту конфигурацию, и, возможно, также packet-tracer
вывод для имитации подключения извне на адрес в новом диапазоне?
Как сказал Шейн: все, что вам нужно сделать, это добавить правило NAT, которое использует один из новых IP-адресов и соответствующий ACL. После этого он должен работать.
Но мне интересно, по-разному ли ваш провайдер маршрутизирует два блока. Маршрут для 1.1.1.x, скорее всего, указывает только исходящий интерфейс, в то время как маршрут для 2.2.2.x, как вы описываете, использует IP-адрес шлюза (ваш брандмауэр). Если это так, у вас действительно есть небольшая разница между двумя блоками. Спросите об этом своего провайдера и попросите его маршрутизировать IP-адреса 2.2.2.x точно так же, как и 1.1.1.x. Им действительно не нужно маршрутизировать IP-адрес шлюза, и это может привести к поломке, если вы когда-нибудь решите изменить внешний IP-адрес своего брандмауэра.
Если это тоже не помогает, еще раз внимательно посмотрите на NAT и ACL. И не забывайте, что вы можете легко выполнить захват пакетов с помощью ASDM - это даст вам окончательный ответ о том, достигает ли трафик брандмауэра.
Проблема в том, что обеим сетям внешнего интерфейса потребуется шлюз по умолчанию. Если вы хотите направить трафик между этими двумя общедоступными сетями без использования брандмауэра, вам придется добавить явные маршруты для каждой из них.
К чему подключена эта подсеть 2.2.2? Очевидно, он также имеет подключение к Интернету, поскольку вы не указываете, что он направлен на 1.1.1. шлюз по умолчанию.
Я бы поместил подсеть 2.2.2.240 в DMZ и сделал .241 интерфейсом межсетевого экрана. Не беспокойтесь о применении резервного IP-адреса, поскольку он используется только для управления вторичным межсетевым экраном.