ネットワーク A 10.110.15.0/24 ファイアウォールは .1 ホスト A は .2
ネットワーク B 10.110.16.0/24 ファイアウォールは .1 ホスト B は .2
2 つの Cisco ASA。10.110.15.0/24 <-> 10.110.16.0/24 を保護する暗号化マップを備えた IPSec トンネル。
2 つのホスト、10.110.15.2 と 10.110.16.2 が相互に通信する必要があるとします。通常、各ホストに次のような永続的な静的ルートを入力する必要があります。
route add 10.110.16.0 mask 255.255.255.0 10.110.15.1 metric 1 -p (「A」ボックス上)
また、トラフィックが .15 ネットワークに戻る方法を認識できるように、.16 ホストに別の永続的な静的ルートを入力する必要があります。各マシンのデフォルトはファイアウォールなので、.1 であることに注意してください。
Windows/ESX/*nux マシンに永続ルートを追加することに問題はありませんが、.15 ネットワークから管理したい .16 ネットワークのスマート スイッチについてはどうでしょうか。
ルーティング プロトコルを実行する必要がありますか? IPSec トンネルの両端でリバース ルート インジェクションを有効にする必要がありますか? ファイアウォールにルートを追加する必要がありますか? その場合、どのように定式化しますか? メトリックは 1 になり、デフォルト ルート 0.0.0.0 はメトリック 2 になりますか?
答え1
ホスト A と B のデフォルト ゲートウェイがそれぞれのファイアウォール ボックス (.1) である場合は、すでに動作しているはずです。
これらの静的ルートを追加することで行うのは、そのサブネットのトラフィックをファイアウォールに転送するようにホストに指示することだけです。デフォルト ゲートウェイが正しく設定されていれば、すでにこの処理が行われているはずです。
また、ホスト A と B でサブネット マスクが正しく設定されていることを確認してください。サブネット マスクが 255.255.0.0 に設定されている場合、説明されている症状が発生します。