Faixa de IP público secundário ASA 5510 na interface externa

2

Estamos em processo de atualização de um ASA5505 para um ASA5510. Eu tenho uma co-localização configurada para 3 intervalos de endereços IP públicos em duas sub-redes diferentes. O 5505 está funcionando como esperado.

Exemplo (IPs modificados): 174.136.1.1, 72.249.1.1, 72.249.2.1

O firewall é atribuído a 174.136.1.2. Ao colocar o 5510 on-line, o tráfego não é roteado corretamente quando as regras NAT são criadas para qualquer endereço IP nesse intervalo: 72.249.1.1, 72.249.2.1

  • Confirmei corretamente os pacotes de dados quando atribuo um servidor a um IP que está na mesma sub-rede que o firewall.
  • Ao configurar VLANs adicionais para os intervalos IP 72.249.1.1 e 72.249.2.1, todos os pacotes são roteados corretamente. Eu coloquei um interruptor entre o roteador do Firewall e do Datacenter. No entanto, não temos IPs suficientes para atribuir a VLANs adicionais.
  • Tentei criar uma rota estática para 72.249.1.1, 72.249.2.1, que não funcionou.
  • Os resultados do rastreamento de pacotes foram positivos, mas não tenho certeza se estou fazendo corretamente.
  • Eu vejo uma regra de NAT Dinâmico na regra 5505 vs Dynamic PAT no 5510. Não estou claro qual é a diferença. Eu acho que tentei mudar isso no 5510 sem sorte.
  • Estou pesquisando subinterfaces no 5510, mas não tenho certeza se essa é a solução.

Temos uma pequena janela para fazer a atualização do firewall e normalmente é tarde da noite. Eu tentei várias vezes sem sorte. Não consigo criar um ambiente de teste no escritório. Eu posso solicitar outra queda do datacenter para fins de teste. Qualquer ajuda seria apreciada. Eu posso postar a configuração completa.

    
por manit 18.01.2016 / 19:37

1 resposta

1

Você precisará de arp permits-nonconnected ativado para o NAT funcionar corretamente.

arp permit-nonconnected

To enable the ARP cache to also include non-directly-connected subnets, use the arp permit-nonconnected command in global configuration mode. To disable non-connected subnets, use the no form of this command.

Usage Guidelines

The ASA ARP cache only contains entries from directly-connected subnets by default. When the no arp permit-nonconnected command is there (default behavior), the ASA rejects both incoming ARP requests and ARP responses in case the ARP packet received is in a different subnet than the connected interface.

Note that the first case (default behavior) causes a failure in case PAT is configured on the ASA and the virtual IP address (mapped) for PAT is in a different subnet than the connected interface.

Also, we do not recommend enabling this feature unless you know the security risks. This feature could facilitate denial of service (DoS) attacks against the ASA; a user on any interface could send out many ARP replies and overload the ASA ARP table with false entries.

You may want to use this feature if you use:

  • Secondary subnets.
  • Proxy ARP on adjacent routes for traffic forwarding.

Examples

The following example enables non-connected subnets:

ciscoasa(config)# arp permit non-connected

    
por 18.01.2016 / 21:51