在 AT&T 路由器/网关后面连接 ASA

网络工程 思科-ASA 网关
2022-02-06 14:32:56

我正在尝试为正在搬入新大楼的转型公司建立一个临时网络。他们刚刚购买并安装了 AT&T 商务互联网连接。他们在 DMZ 中有几个他们想要的设备——一个相当旧的服务器(基本上必须有一个静态 IP 保留)和一个运行他们专有应用程序的现代机器。其他一切都可以做任何事情 - 只需要互联网连接。他们有一堆 2000 年中期的 Cisco 设备,我拿了一个 ASA 5510 来完成这项工作。

到目前为止,我的主要问题是在尝试将 ASA 连接到网关(Arris BGW210-700,品牌 AT&T 并运行 AT&T 软件)时,我不知道该怎么做。

我打算在 ASA 上设置这样的东西:

interface Ethernet0/0

description WAN_Interface

nameif WAN

security-level 0

ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

并添加一个默认路由以通过该接口将所有流量发送到网关。

但是,我不确定如何设置 AT&T 网关以允许这样做。我发现一些名为“IP Passthrough”的设置似乎可以完成这项工作:

https://forums.att.com/conversations/att-internet-equipment/bridgemode-vs-ip-passthrough-setup-information/5defbfffbad5f2f606ad5ed2

我决定使用手动模式,因为我觉得这会使 DMZ 的 NAT 变得容易。手动 IP 直通的选项并不多 - 实际上我只能添加正在使用的设备的 MAC 地址(所以我在 ASA 上输入了 Eth0/0 的 MAC 地址)但是....Eth0/0 on ASA 保持关闭/关闭。

我有几个问题:

我要正确/干净地完成这个吗?我欣然承认对此一无所知。有没有人成功做到这一点(ISP 提供的网关后面的防火墙)?我觉得这一定是一个相当普遍的 SOHO 场景。

假设我走的是正确的路径,我是否需要输入网关的 WAN 地址作为 Eth0/0 接口的 IP 地址和掩码?我假设我需要输入一些内容,因为带有 DHCP-Fixed 的 IP Passthrough 不起作用(并且我将 ASA 接口设置为 DHCP)。网关中的其他设置也引起了我的注意;级联路由器之一。我需要修改其他设置吗?

我很想听听任何有这样做经验的人的意见。

多谢你们。我感激你。

2个回答

“AT&T Business Fibre”只是 Residential Uverse 的更昂贵版本。在真正的商业环境中——A 级办公空间——它可能由 ASE(相对于 xPON)提供,并且商业帐户可以获得静态地址块。(住宅正式不再允许静力学。)

如果您坚持使用动态地址,则配置就像任何其他住宅 Uverse 设置一样:“DMZ+”或“IP Passthru”互联网上有很多地方详细说明了该过程。

如果你得到一个静态地址块,你的生活会轻松一些。(T 把他们的 RG 放在一边。)在“家庭网络”>“子网和 DHCP”下,填写“公共子网”下的部分。将 DHCP 池保留为“私有”。然后在公共互联网上手动输入您想要的每台设备的公共地址信息;网关是在“公共网关地址”框中输入的地址。(是的,这是一个“覆盖网络” - 192.168.1.0/24 和静态块在同一条线上)

[ AT&T 将在您订购静态块时对这些设置进行编程。但用户也可以编辑它们。]

interface GigabitEthernet0/2
 flowcontrol send on
 nameif uverse
 security-level 0
 ip address 23.x.y.2 255.255.255.248
!
route uverse 0.0.0.0 0.0.0.0 23.x.y.1 10 
!
object network obj-inside-01
 subnet 192.168.0.0 255.255.0.0
 nat (inside,uverse) dynamic interface

然后将一根电缆从 0/2 连接到 RG 上的一个 LAN 端口。(将子网设置为您的内部网络。)

我们可以帮助配置 ASA,但您需要联系 AT&T 以获取有关其网关的帮助。这只是我们无能为力的事情,因为它运行自己的固件等有太多的可能性。实际上,您需要将 AT&T 网关置于桥接模式,因为您的公共地址空间将在 ASA 上配置,ASA 也将执行您的 NAT。

这些示例假设您使用的是 ASA OS 8.3 或更高版本

对于 ASA,您所拥有的外部接口配置是正确的。您显然还需要创建一个内部交互。

您将需要一个默认路由(就像您提到的那样),例如:(假设您的接口名称是“inside”和“WAN”)

route WAN 0.0.0.0 0.0.0.0 <gateway>

除此之外,您应该为每个接口分配 ACL(即使它们允许所有内容出站),否则您将没有固有的保护。

您可以创建一些基本的 ACL 并像这样分配它们:(假设您的接口名称是“inside”和“WAN”)

access-list from_inside extended permit ip any any
access-list from_WAN extended deny ip any any
access-group from_inside in interface inside
access-group from_WAN in interface WAN

您还需要一个基本的 NAT 语句:(假设您的接口名称是“inside”和“WAN”)

nat (inside,WAN) after-auto source dynamic any interface

其它你可能感兴趣的问题
上一篇N5K-5548UP-AF CoPP 问题 下一篇间歇性网络性能问题