Сеть A 10.110.15.0/24 Брандмауэр — .1 Хост A — .2
Сеть B 10.110.16.0/24 Брандмауэр — .1 Хост B — .2
Два Cisco ASA. Туннель IPSec с криптокартой, которая защищает 10.110.15.0/24 <-> 10.110.16.0/24.
Допустим, два хоста, 10.110.15.2 и 10.110.16.2, должны общаться друг с другом. Обычно мне нужно ввести постоянный статический маршрут на каждом хосте по следующим линиям:
route add 10.110.16.0 mask 255.255.255.0 10.110.15.1 metric 1 -p (в поле "A")
Мне также нужно ввести еще один постоянный статический маршрут на хосте .16, чтобы трафик знал, как вернуться в сеть .15. Обратите внимание, что по умолчанию для каждой машины — это брандмауэр, поэтому .1.
У меня нет проблем с добавлением постоянных маршрутов на машины Windows/ESX/*nux, но как насчет интеллектуального коммутатора в сети .16, которым я хочу управлять из сети .15?
Нужно ли мне запускать протокол маршрутизации? Нужно ли мне включить Reverse Route Injection на обоих концах туннеля IPSec? Нужно ли мне добавлять маршрут на брандмауэре? Если да, то как его сформулировать? Получает ли он метрику 1, а мой маршрут по умолчанию 0.0.0.0 получает метрику 2?
решение1
Если шлюзами по умолчанию на хостах A и B являются соответствующие им брандмауэры (.1), то он уже должен работать.
Все, что вы делаете, добавляя эти статические маршруты, — это сообщаете хосту о необходимости направлять трафик для этой подсети на брандмауэр, что он и так должен делать, если шлюз по умолчанию настроен правильно.
Также уверены ли вы, что маска подсети на хостах A и B установлена правильно? Если бы она была 255.255.0.0, это привело бы к описанным вами симптомам.