取消
显示结果 
搜索替代 
您的意思是: 
cancel
5312
查看次数
0
有帮助
6
回复

ASA 5515-X 双出口应用策略路由就断网

cnyuwei27816
Level 1
Level 1
本帖最后由 cnyuwei27816 于 2019-11-5 16:02 编辑
如题,使用 Cisco ASA 5515-X 配置双出口:一条拨号光纤( 0/0 ),一条专线(新增,0/2 );配置静态路由走光纤,现在想新增一个 VLAN 使用 PBR 单独走专线,其余不变; 在 inside ( 0/1 )做的配置,如下:
access-list vlan4 extended permit ip 192.168.4.0 255.255.255.0 any ( CiSCO 官网搜到标准 ACL 不支持匹配源地址,所以做了扩展 ACL )
route-map dia permit 10
match ip route-source vlan4
set ip next-hop xxx.xxx.xxx.xxx (下一跳用的专线网关)
exit
route-map dia permit 20
exit
Interface GigabitEthernet0/1
policy-route route-map dia
看着没毛病啊,但是只要应用 PBR 就全部断网,郁闷!
6 条回复6

YilinChen
Spotlight
Spotlight
1、route-policy permit 20 也得写,匹配IP地址范围和下一跳
2、默认路由要写,专线的默认路由也得写(优先级调高)
3、PAT策略上建议也检查下配置

kongchao2013
Level 1
Level 1
1、遵循先路由后NAT的思路,你策略路由写了,但是关于0/2接口的PAT写了么,就是上网用的源地址NAT
答:但是你内部全部断网了,应该不是NAT问题,因为0/1口有拨号专线的NAT
2、策略路由的配置很有问题,删除route-map dia permit 20这个命令,不需要,route-map在策略路由中,仅仅是包含的关系。。如果你不删除该命令就会导致所有内网都去了0/2
答:你遇到的问题,就是这个问题导致的,百分之99的可能
3、策略路由修改完成后,检查NAT配置即可。就是192.168.4.0/24这个网段需要做源地址转换,转换成0/2接口上面的公网地址或者0/2接口地址

cnyuwei27816
Level 1
Level 1
kongchao2013 发表于 2019-11-7 14:48
1、遵循先路由后NAT的思路,你策略路由写了,但是关于0/2接口的PAT写了么,就是上网用的源地址NAT
答: ...

多谢回复,已经换了方案,然后有了新的问题:
换成交换机接两个网关(一个是原来的防火墙,另外一台上网行为管理)
然后互相能 ping 通,但是网页、服务器无法访问;
网关、交换机上路由信息都是做了的,也用 ACL 设置了允许。
哥们知道啥情况咩

Wubin2010
Spotlight
Spotlight
怎么没看到rooute-map匹配acl呢?

xuxiaoxunlxl
Level 1
Level 1
策略不对:)

kongchao2013
Level 1
Level 1
cnyuwei27816 发表于 2019-11-9 08:28
多谢回复,已经换了方案,然后有了新的问题:
换成交换机接两个网关(一个是原来的防火墙,另外一台上网 ...

既然,你的方案,变成了,三层交换机加上两个出口设备的情况
可能就会出现以下情况,有因果联系的:
1、三层交换机两个缺省路由,分别指向两个出口设备,负载均衡了
2、一次上网行为,发生出去和返回,流量是双向的,就是因为负载均衡了,当出去的时候,走的1号出口,然后从1号出口返回,然后再从2号出口出去
3、因为第二点,所以要明确在3层出去要明确策略路由,比如:192.168.1.0/24必须从1号口出去
4、也是因为ASA的原因,不管思科还是其他厂商的安全设备,需要遵循严谨的状态会话机制,意思就是来回都要过防护墙,并且不要出现来回路径不一致和非对称路由的情况
5、说实话,安全设备,不要随便用。对IT人员要求较高,当然,仅仅是较高。不难的
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接