为什么我会在 ASA 的外部接口上看到内部流量?

网络工程 思科
2021-08-01 04:36:31

我在 ASA 日志文件中看到以下消息:

2015-09-10T14:22:07.860487-05:00 natbox %ASA-2-106006: Deny inbound UDP from 172.17.136.168/16403 to 172.17.136.168/16403 on interface Outside_128.255.2.116/30
2015-09-10T14:22:07.860487-05:00 natbox %ASA-2-106006: Deny inbound UDP from 172.17.136.168/16403 to 172.17.136.168/16403 on interface Outside_128.255.2.116/30
2015-09-10T14:22:07.860491-05:00 natbox %ASA-2-106006: Deny inbound UDP from 172.17.136.168/16403 to 172.17.136.168/16403 on interface Outside_128.255.2.116/30

172.17.128.0/17 网络应该是内部的(在 NAT 盒的内部接口上),而不是出现在外部接口上。

以下是配置中的 NAT 语句:

object network WLAN_USR_GLOBAL_POOL_129_255_228_0
 range 129.255.228.10 129.255.231.254

object network ARUBA_LOCAL_172_17_128_0
  subnet 172.17.128.0 255.255.128.0

object network ARUBA_LOCAL_172_17_128_0
  nat (any,any) dynamic pat-pool WLAN_USR_GLOBAL_POOL_129_255_228_0 round-robin

更新:我在 ASA 的传出接口上执行了一个小数据包捕获,但我没有看到来自 172.17.128.0/17 的任何流量。所以我怀疑还有其他事情。

更新简化图:

图表

到 Internet 的流量遵循无线路由器默认路由到要进行 NAT 的 ASA。

到内部网络的流量通过更具体的路由直接路由到核心路由器。

更新 2015-09-15 Cisco TAC 建议我指定源接口和目标接口而不是 (any,any),所以我这样做了。它没有任何区别。

谢谢。

1个回答

事实证明,由于某种原因,内部主机试图使用其公共 IP 与其他内部主机通信。我们怀疑注册了公共 IP 的某种服务。

为了防止流量到达 ASA,我们对从内部地址到外部地址的黑洞流量放置了一条路由语句。

其它你可能感兴趣的问题
上一篇了解思科出站 NAT 下一篇为什么某些界面不显示,除非我处于配置模式?