Назад | Перейти на главную страницу

Маршрутизация Cisco ASA, шпилька?

Cisco ASA 5505, 8.4.3

  1. LAN: 10.0.15.0, уровень безопасности 100
  2. БЕСПРОВОДНАЯ: 10.0.17.0, уровень безопасности 75
  3. WAN: уровень безопасности 0

Из БЕСПРОВОДНОГО интерфейса мне нужно получить доступ к серверам в локальной сети. Проблема в том, что БЕСПРОВОДНОЙ трафик направляется по WAN1 и не возвращается в LAN. Чтобы решить эту проблему в локальной сети, я просто создал записи DNS для серверов, чтобы они указывали на IP-адреса локальной сети. Это невозможно для БЕСПРОВОДНОГО интерфейса, поскольку он использует внешние DNS-серверы. Я бы хотел, чтобы БЕСПРОВОДНОЙ интерфейс использовал внешние IP-адреса, а затем проходил через брандмауэр.

Какую дополнительную информацию я должен опубликовать, чтобы помочь найти решение этой проблемы?

Не буду педантичным, но переход от БЕСПРОВОДНОЙ к ЛВС не является проблемой, поскольку трафик передается от одного интерфейса к другому. Переход от БЕСПРОВОДНОЙ к БЕСПРОВОДНОЙ или от ЛВС к ЛВС - в целом более сложная проблема, чем то, что вы просили.

Однако для передачи трафика из БЕСПРОВОДНОЙ в LAN:

  • Поскольку WIRELESS имеет security-level 75 к LAN security-level 100 убедитесь, что у вас есть ACL, разрешающий трафик от IP реального источника по БЕСПРОВОДНОМУ настоящие IP в локальной сети. Независимо от NAT, в ASA 8.3+ используются реальные IP-адреса.
  • Если вы хотите использовать общедоступные IP-адреса служб, размещенных в LAN из WIRELESS, самый простой способ - использовать any ключевое слово для отображаемого интерфейса Object NAT самого сервера (за интерфейсом LAN).

Пример:

! Define object for LAN network and Object NAT dynamic PAT
object network net-10.0.15.0-24
 description LAN Network
 subnet 10.0.15.0 255.255.255.0
 nat (LAN,WAN) dynamic interface

! Define object for WIRELESS and Object NAT dynamic PAT
object network net-10.0.17.0-24
 description WIRELESS Network
 subnet 10.0.17.0 255.255.255.0
 nat (WIRELESS,WAN) dynamic interface

! Define object for a server hosted in LAN, note the *any* in the Object NAT
object network hst-10.0.15.100
 description Server on LAN
 host 10.0.15.100
 nat (LAN,any) static 1.2.3.4

! Tweak as needed -- permits WIRELESS to LAN due to security-level difference.
access-list WIRELESS_access_in extended permit ip object net-10.0.17.0-24 object net-10.0.15.0-24
! Beware of implicit deny at end, make sure to configure this ACL properly.
! May have to finish with a permit any any.  Included below for reference.
access-list WIRELESS_access_in extended permit ip any any

! Apply the ACL to the interface
access-group WIRELESS_access_in in interface WIRELESS

Будьте очень осторожны при использовании any ключевое слово в Object NAT. Особенно с динамическим PAT и динамическим NAT. Прочтите Руководство по настройке ASA 8.4 Раздел NAT