Cisco ASA 5510真的不支援路由Routeing?

david666

david666
個人積分：62分
文章編號：43876746

62分

樓主

2013-05-21 2:06

架構圖

已經在ASA 5510的Static Routes設定了inside dst:10.1.0.0/16 gateway:10.0.0.253
#route inside 10.1.0.0 255.255.0.0 10.0.0.253 1

PC端也設定default gateway:10.0.0.254
ping 10.1.0.0/16的網段無回應。
trace 10.1.0.0/16的網段無回應。

ASA5510沒有路由功能嗎，那設定ASA的static routes的用途是？
網路爬文的結果
1.同一個 interface 不能打回頭，無論 inside / outside / dmz 都一樣。
2.(香港文章)PIX 唔 support local redirect. 反彈 packet 必閘。
反轉 default 指去 mpls 果隻 router，再 set default route 去 PIX 咁就 work。
3. ASA並沒有路由功能，而且Switch port上會有防Flood機制，也就是說同一封包要轉送時從同一個port去回是會被drop掉的

Cisco的官方文件"Configuring Static and Default Routes"
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/route_static.html

2013-05-21 2:06 發佈

文章關鍵字 Cisco ASA 5510 路由 Routeing 5510

1tac

1tac
個人積分：1093分
文章編號：43877243

1093分

2樓

2013-05-21 3:52

ASA5500 Series 可當 Router (Routed Firewall Mode) 也可當 Bridge (Transparent Firewall Mode).

當Router時, 可支援許多interfaces, 此時Static Route就有用了

http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/fwmode.html#wp1220886

david666 wrote:
1.同一個 interface 不能打回頭，無論 inside / outside / dmz 都一樣。
2.(香港文章)PIX 唔 support local redirect. 反彈 packet 必閘。
反轉 default 指去 mpls 果隻 router，再 set default route 去 PIX 咁就 work。
3. ASA並沒有路由功能，而且Switch port上會有防Flood機制，也就是說同一封包要轉送時從同一個port去回是會被drop掉的 ...(恕刪)

這些都是有可能的, 小弟會建議在封包進出的各個點上sniff packets以釐清是誰把封包丟掉的

david666

david666
個人積分：62分
文章編號：43897796

62分

樓主

2013-05-22 0:01

1tac wrote:
ASA5500 Se...(恕刪)

空機設定時，並沒有特別設定Routed Firewall Mode，出廠預設應該就是Routed Firewall Mode吧？如何檢查呢？
(不過從我的架構上來看，我猜應該是Routed Mode，因為Transparent Mode不支援NAT)

但既然是Routed Mode為何我設定的Static Routes無動作呢？

sniff packets應該是個不錯的方式，再來試試

Transparent Mode是不是就是所謂的透通啊？

謝謝

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：43903302

230分

4樓

2013-05-22 10:27

我的ASA 5510也遇到相同的問題，目前無解中...
只是很奇怪的是既然不能動作，那為何還要設置一個靜態路由表呢？

david666 wrote:
空機設定時，並沒有特別設定Routed Firewall Mode，出廠預設應該就是Routed Firewall Mode吧？如何檢查呢？
(不過從我的架構上來看，我猜應該是Routed Mode，因為Transparent Mode不支援NAT)

但既然是Routed Mode為何我設定的Static Routes無動作呢？

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

thomasho

thomasho
個人積分：218分
文章編號：43904529

218分

5樓

2013-05-22 11:17

我記得是可以routing,但是不能在同一個interface routing進出.......

對ASA來說,他不允許你的封包由int g0進入到asa,又從int g0 routing出去.....

但是他允許int g0進,int g1出......(不同int)

所以原廠文件就說了asa和router不同.......

david666

david666
個人積分：62分
文章編號：43907877

62分

樓主

2013-05-22 13:45

thomasho wrote:
不能在同一個interface routing進出(恕刪)

這樣的話
ASA 5510有四個Port，目前用掉3個(inside, outside, DMZ)，我可以將MPLS數據機改接在第四個Port(假設interface name為MPLS)上面，再將Static Routes修改為所有到外點的封包都往MPLS Port丟嗎？MPLS Port的IP是設定172.0.0.0/16的網段嗎？還是可以用10.0.0.0/16的網段？

謝謝

thomasho

thomasho
個人積分：218分
文章編號：43909512

218分

7樓

2013-05-22 15:01

david666 wrote:
這樣的話ASA 55...(恕刪)

可以.........所以這時候static route就用的上了...........

david666

david666
個人積分：62分
文章編號：43923175

62分

樓主

2013-05-23 2:42

thomasho wrote:
可以...........(恕刪)

剛剛在另一個論壇得到一線曙光，或許是解決方式，先分享給大家，明天再來試試

======網友回覆=====
因為ASA的應用是security/firewall,所以預設的設定在packet forward的限制比router多,並不是他沒有路由功能.

你的case需要在ASA上作下列設定,
1.允許封包從同一個interface(10.0.0.254)進去,再forward出來(to 10.0.0.253).
因為ASA預設不允許這樣的行為(你的爬文的第1點).請下下列command.
(config)# same-security-traffic permit intra-interface

2.設定NAT例外規則(10.0.0.0/24 <-> 10.1.0.0/16 不做NAT)
請下下列command.
(config)# access-list no_nat extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.0.0
(config)# access-list no_nat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.255.0
(config)# nat (inside) 0 access-list no_nat