Netzwerk A 10.110.15.0/24 Firewall ist .1 Host A ist .2
Netzwerk B 10.110.16.0/24 Firewall ist .1 Host B ist .2
Zwei Cisco ASAs. IPSec-Tunnel mit einer Kryptokarte, die 10.110.15.0/24 <-> 10.110.16.0/24 sichert.
Angenommen, zwei Hosts, 10.110.15.2 und 10.110.16.2, müssen miteinander kommunizieren. Normalerweise muss ich auf jedem Host eine dauerhafte statische Route eingeben, etwa so:
Route add 10.110.16.0 Maske 255.255.255.0 10.110.15.1 Metrik 1 -p (auf der „A“-Box)
Ich muss außerdem eine weitere dauerhafte statische Route auf dem .16-Host eingeben, damit der Datenverkehr weiß, wie er zurück zum .15-Netzwerk gelangt. Beachten Sie, dass die Standardeinstellung für jeden Computer die Firewall ist, also .1.
Ich habe kein Problem damit, persistente Routen auf Windows-/ESX-/*nux-Rechnern hinzuzufügen, aber was ist mit einem Smart Switch im .16-Netzwerk, den ich vom .15-Netzwerk aus verwalten möchte?
Muss ich ein Routing-Protokoll ausführen? Muss ich Reverse Route Injection an beiden Enden des IPSec-Tunnels aktiviert haben? Soll ich eine Route zur Firewall hinzufügen? Wenn ja, wie formulieren Sie diese? Bekommt sie eine Metrik von 1 und meine Standardroute 0.0.0.0 eine Metrik von 2?
Antwort1
Wenn die Standard-Gateways auf Host A und B ihre jeweiligen Firewall-Boxen (.1) sind, sollte es bereits funktionieren.
Durch das Hinzufügen dieser statischen Routen weisen Sie den Host lediglich an, den Datenverkehr für dieses Subnetz an die Firewall weiterzuleiten. Dies sollte er bereits tun, wenn das Standard-Gateway richtig eingestellt ist.
Sind Sie außerdem sicher, dass die Subnetzmaske auf Host A und B richtig eingestellt ist? Wenn Sie sie auf 255.255.0.0 gesetzt hätten, würde das die von Ihnen beschriebenen Symptome verursachen.