将 ASA5510 升级到 ASA5525-X,我们希望从透明模式更改为路由模式,以便 Packet Tracer 正常工作。还希望轻松撤消更改,而无需同时让我们的提供商更改路由。
我们可以在下面看起来很奇怪的配置中添加一个路由器吗?路由都是静态的。要撤消,我们会移动一些跳线。一旦我们信任新的防火墙,我们的提供商就会更改路由,我们将删除临时的额外路由器。
但是在临时设置中,我们能否安全地从提供商路由到子网 A,再到子网 B,再到子网 A,再到我们的内部网络(A 和 B 的超网)?
BEFORE [* = 接口]
提供商边缘路由器*1.1.1.1 --old fw-- 1.1.1.2*我的路由器到 1.1.0.0/16
后
PE*1.1.1.1 --- 1.1.1.2*temp rtr*1.1.2.1 --- 1.1.2.2*new fw*1.1.1.1 --- 1.1.1.2*my router to 1.1.0.0/16
你不能那样做,因为 new_fw 在它的两边都有相同的路由(1.1.1.0)(总是更喜欢指向 my_router 的连接路由)。
假设您的 ISP 为您路由一个 IP 块(例如:/29),那么我会将交换机连接到 PE,并将 old_fw 连接到交换机并保持一切现状。然后,将 new_fw 连接到同一个交换机,从 new_fw 内部的块(例如:1.1.1.3)给它一个新 IP,连接一个工作站进行测试。您甚至可以使用最终位于 new_fw 和 my_rtr 之间的 IP 块对其进行配置,因此当您进行切换并将 my_rtr 连接到 new_asa 时,一切都会正常工作。
这允许您测试新设置,而无需更改现有设置(更少在网络和 PE 之间添加交换机。
完成测试后,只需将 my_rtr 移动到 new_fw(如果需要,将 new_asa 外部 IP 更改为 my_rtr 的 IP)。
所以你可以这样做。但是,涉及的内容会更多。Stieveb,您的“new-fw”是否会看到两条通往 1.1.1.0/2 的潜在路线?因为您试图使路由模式 FW 像透明模式一样工作。你能做什么,让它工作是为 1.1.1.0/2 设置 NAT?面向 new_fw 的 temp_rtr和面向 temp_rtr 的 new_fw 上的网络。
通过这种方式,两台设备在它们未直接连接的一侧看到该范围的不同网络编号。我并不是说这一定是个好主意,但它会使您提议的配置起作用。
如果我这样做,我会做的是创建配置的两个副本。一种用于透明,一种用于路由。通过这种方式,您可以摆脱两个路由器,如果由于路由设置而出现问题,您可以通过 ssh 进入 new_fw,粘贴“透明配置”并移动两条电缆以将 my_rtr 放回内联。鉴于我对您的要求的理解无论如何!