web-dev-qa-db-ja.com

外部インターフェイスのASA5510セカンダリパブリックIP範囲

現在、ASA5505からASA5510へのアップグレードを行っています。 2つの異なるサブネット上の3つの範囲のパブリックIPアドレス用にコロケーションを構成しています。 5505は期待どおりに機能しています。

例(変更されたIP):174.136.1.1、72.249.1.1、72.249.2.1

ファイアウォールは174.136.1.2に割り当てられています。 5510をオンラインにする場合、次の範囲のIPアドレスに対してNATルールが作成されると、トラフィックは正しくルーティングされません:72.249.1.1、72.249.2.1

  • ファイアウォールと同じサブネット上にあるIPにサーバーを割り当てるときに、データパケットが正しくルーティングされることを確認しました。
  • IP範囲72.249.1.1および72.249.2.1に追加のVLANを構成すると、すべてのパケットが正しくルーティングされます。ファイアウォールとデータセンタールーターの間にスイッチを置きました。ただし、追加のVLANに割り当てるのに十分なIPがありません。
  • 72.249.1.1、72.249.2.1への静的ルートを作成しようとしましたが、機能しませんでした。
  • パケットトレースの結果は良好でしたが、正しく実行されているかどうかはわかりません。
  • 5505の動的NATルールと5510の動的PATルールの違いはわかりません。5510でそれを切り替えようとしましたが、運が悪かったと思います。
  • 私は5510のサブインターフェイスを調査していますが、それが解決策かどうかはわかりません。

ファイアウォールのアップグレードを行うための小さなウィンドウがあり、それは通常深夜です。運が悪かったので何度も試しました。オフィスでテストベッド環境を作ることができません。テスト目的で、データセンターに別のドロップをリクエストする場合があります。どんな助けでもいただければ幸いです。完全な設定を投稿できます。

2
manit

NATが正しく機能するには、 arp permit-nonconnected を有効にする必要があります。

arppermit-接続されていません

ARPキャッシュに直接接続されていないサブネットも含めることができるようにするには、グローバルコンフィギュレーションモードでarppermit-nonconnectedコマンドを使用します。接続されていないサブネットを無効にするには、このコマンドのno形式を使用します。

使用上のガイドライン

ASA ARPキャッシュには、デフォルトで直接接続されたサブネットからのエントリのみが含まれます。 no arp permit-nonconnectedコマンドが存在する場合(デフォルトの動作)、受信したARPパケットが接続されたインターフェイスとは異なるサブネットにある場合、ASAは着信ARP要求とARP応答の両方を拒否します。

最初のケース(デフォルトの動作)は、PATがASAで設定され、PATの仮想IPアドレス(マップされた)が接続されたインターフェイスとは異なるサブネットにある場合に障害を引き起こすことに注意してください。

また、セキュリティリスクを理解していない限り、この機能を有効にすることはお勧めしません。この機能により、ASAに対するサービス拒否(DoS)攻撃が容易になる可能性があります。任意のインターフェイスのユーザが多くのARP応答を送信し、誤ったエントリでASAARPテーブルをオーバーロードする可能性があります。

以下を使用する場合は、この機能を使用することをお勧めします。

  • セカンダリサブネット。
  • トラフィック転送用の隣接ルート上のプロキシARP。

次の例では、接続されていないサブネットを有効にします。

ciscoasa(config)# arp permit non-connected

2
Diamond