-3

我们正在尝试将 Cisco ASA 用作 VPN 并将流量转发到两台服务器。

我们的 ISP 为我们提供了一系列连续的 IP 地址。154.223.252.146-149 默认 GW 为 154.223.252.145,我们使用网络掩码 255.255.255.240

我们将其中的第一个 154.223.252.146 分配给我们的 ASA 上的外部接口,它成功地托管了我们的 VPN 服务。它工作得很好。

下一个也是最后一个目标是让 154.223.252.147 将 https 流量转发到 10.1.90.40,让 154.223.252.148 将 https 流量转发到 10.1.94.40。

我们当前的阻碍是我们无法让 asa 的外部接口响应这些 IP 地址。

我们已经能够使用 154.223.252.146 正确转发 https 流量。所以我们知道这是可行的。

我已将笔记本电脑从我们的 ISP 插入交换机,并成功手动分配了 154.223.252.147 和 154.223.252.148,默认 gw 为 154.223.252.145,并且连接愉快。所以我们知道 IP 存在且可用,我们只需要说服 ASA 响应它们并使用它们来转发 https。

我们尝试将电缆从交换机插入防火墙上的其他接口。这失败了,因为网络掩码与我们的第一个外部接口 154.223.252.146 255.255.255.240 重叠,思科讨厌这个并且不允许它。

我们已阅读文档并听说可以通过定义 vlan 将一系列 IP 分配给外部接口。我们不知道如何成功地完成这项工作,并且尝试失败了。

使用 Cisco ASA 完成此配置的最佳方式是什么?

4

2 回答 2

0

您无需将同一范围内的多个 IP 分配给多个接口。这不适用于思科。而是为您的 Web 服务器尝试静态的一对一 NAT,并在分配给接口的 IP 地址上终止您的 VPN 流量。

观看此视频了解一对一 NAT:

https://www.youtube.com/watch?v=cNaEsZSsxcg

于 2021-09-20T13:47:41.497 回答
-1

思科在此 ASA 上启用了主动扫描技术。我们能够通过间歇性的不良行为来诊断它。经过足够长的故障排除后,我们意识到某些行为与我们所做的更改不一致。所以我们开始寻找防火墙自己会尝试做的事情。这最终帮助我们缩小了范围。禁用主动扫描允许我们的外部 vlan 配置工作。现在继续收紧配置。

于 2015-08-26T14:11:41.403 回答