ASA 5505 将出站 IP 分配给 VLAN

网络工程 ipv4 VLAN 思科
2021-07-24 18:41:30

我有一台运行 8.3.1 软件的 Cisco ASA 5505。我已经设置了我的 VLAN,并且我有一个静态 IP 地址块。一个 IP 地址被设置为“外部”接口 IP 地址,我有一条静态路由用于 Internet 访问。我在内部和外部接口之间也有 NAT。

问题是我有一个要使用的 DMZ VLAN,并且该 VLAN 上的所有服务器都对入站和出站流量使用不同的 IP 地址。我按照 Cisco 论坛上这篇文章的说明进行操作,但无法路由流量。

https://supportforums.cisco.com/discussion/11687031/cisco-asa-5505-multiple-outside-statics-ip

object network dmz
subnet 192.168.1.0 255.255.255.0
nat (guest,outside) dynamic 155.1.1.2

运行此命令并检查 ASDM 上的 NAT 规则后,它会创建与“内部”接口相同的 NAT 规则,但转换的源是辅助 IP 地址。问题是它不会将流量路由到 Internet。如果我将转换后的源更改为“外部”,它会路由,但传出 IP 地址与所有其他 VLAN 相同。

我想我可能需要添加另一个静态路由或某种类型的双 NAT 规则;我不确定。任何帮助将不胜感激。

我的整个配置如下,这里是我一直在玩的一些领域:

  • 我想我在这里可能需要一个静态路由,使用辅助 IP 地址,但我只能为一个接口创建路由。xxxx 是我的静态 IP 地址块的网关。

    route outside 0.0.0.0 0.0.0.0 x.x.x.x 1

  • 当我按照上面链接中的说明进行操作时,它创建了另一个对象(刚刚注意到)。我认为重复的对象(重叠)可能会导致问题。

    object network dmz
 nat (dmz,outside) dynamic x.x.x.x

配置:

: Saved
:
ASA Version 8.3(1) 
!
hostname xxxxxxxxxx
enable password xxxxxxxxxx encrypted
passwd xxxxxxxxxx encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address x.x.x.x 255.255.255.0 
!
interface Vlan3
 nameif dmz
 security-level 100
 ip address 192.168.2.1 255.255.255.0 
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
 switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
 name-server 8.8.8.8
 name-server 8.8.4.4
same-security-traffic permit inter-interface
object network obj-192.168.1.0 
 subnet 192.168.1.0 255.255.255.0
object network obj_any 
 subnet 0.0.0.0 0.0.0.0
object network obj-192.168.2.0 
 subnet 192.168.2.0 255.255.255.0
object network dmz
 subnet 192.168.2.0 255.255.255.0
access-list inside_access_in extended permit ip any any 
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-645.bin
no asdm history enable
arp timeout 14400
!
object network obj-192.168.1.0
 nat (inside,outside) dynamic interface
object network dmz
 nat (dmz,outside) dynamic x.x.x.x
access-group inside_access_in in interface inside control-plane
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.10 inside
dhcpd enable inside
!
dhcpd address 192.168.2.10-192.168.2.20 dmz
dhcpd dns 8.8.8.8 interface dmz
dhcpd enable dmz
!
1个回答

这是一个老问题,但我最近遇到了同样的问题,经过反复试验,我找到了解决方案。以下内容适用于 ASA 9.1 版。我的网络上有两个 VLAN:一个用于 PC,另一个用于 VoIP。我希望 VoIP VLAN 使用自己的外部地址,与 PC 使用的外部地址分开。这是配置最终的样子(IP 地址已被稍微混淆)。这些只是配置的相关部分,而不是完整的转储:

: ASA Version 9.1(2) 

interface Ethernet0/0
!
interface Ethernet0/1
 switchport access vlan 2
!
interface Ethernet0/6
 switchport access vlan 50
!
interface Vlan1
  nameif outside
  security-level 0
  ip address 65.65.65.10 255.255.255.192 
!
interface Vlan2
 nameif net-inside
 security-level 100
 ip address 10.1.10.1 255.255.248.0 
!
interface Vlan50
 nameif net-voip
 security-level 100
 ip address 172.16.0.1 255.255.255.0 
!
object network net-voip
 subnet 172.16.0.0 255.255.255.0
 nat (net-voip,outside) dynamic 65.65.65.20
!
nat (net-inside,outside) after-auto source dynamic any interface
!
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd address 172.16.0.100-172.16.0.127 net-voip
dhcpd dns 8.8.8.8 interface net-voip
dhcpd enable net-voip

我还包括我的配置部分,它在电话的 VoIP VLAN 上设置 DHCP。我遇到的一个障碍(回想起来应该很明显),net-voipVLAN 的安全级别需要高于外部 VLAN,否则将不允许它出去。

其它你可能感兴趣的问题
上一篇瞻博网络 SRX100 和 SRX210 无故恢复出厂设置 下一篇是否可以强制 DHCPv6 在没有 DHCP 服务器的情况下配置客户端的地址?