下一跳网关 (ASA) 到点对点的连接问题

网络工程 思科-ASA acl 点对点
2022-02-24 14:08:36

我在将流量从不同 ISP 上的备份网关路由到我们的主网关时遇到问题,该网关使用与数据中心的点对点连接以及我们的大部分基础设施。使用的所有设备都是 Cisco ASA。站点 A 是一个子网 10.10.108.0/22,站点 B 也是一个子网 10.20.10.0/24。使用 ASA1 作为其默认网关的客户端连接到站点 B 没有问题。我为默认网关放置在 ASA2 上的任何客户端都可以来回 ping 到站点 B 客户端,但没有数据访问权限。看着我画得很好的图片,PC2 和 PC3 可以互相 ping 通。然而,就是这样。我在 ASA2 上设置了一个 ACL 以允许到站点 B 的流量。ASA2 也有一个静态路由来将所有站点 B 流量发送到 ASA1,因此通过 P2P。我尝试在 ASA2 上输入 NAT 规则,如下所示,

nat (inside,inside) source static SiteB-lan SiteB-lan destination static SiteA-lan SiteA-lan no-proxy-arp route-lookup

站点 B 知道通过连接到 ASA1 的 P2P 将所有站点 A 流量发回。ASA1 向 P2P 发送和从 P2P 发送流量没有任何问题,除非其流量来自 ASA2,ASA2 与它通过的所有其他内部流量位于同一子网。奇怪的是,如果你查看照片,PC2 和 PC3 可以互相 ping 通,没问题,但不能传递任何数据。不知道我在这里缺少什么。感谢任何反馈。

网络

1个回答

简单地说:不要NAT。连接私有到公共或公共到私有时需要 NAT。由于您正在连接私有到私有,因此不需要 NAT。

随着 ping 工作,您的路由工作正常。如果没有其他方法起作用,您的 ACL 会过滤掉所需的流量。检查 ACL 统计信息或使用数据包捕获来查看发生过滤的位置。

其它你可能感兴趣的问题
上一篇数据包遍历如何在 NAT 过载的公共网络上工作 下一篇为什么我的路线图会黑洞一些同样特定的路线?