網路 A 10.110.15.0/24 防火牆為 .1 主機 A 為 .2
網路 B 10.110.16.0/24 防火牆為 .1 主機 B 為 .2
兩個 Cisco ASA。具有加密映射的 IPSec 隧道,可保護 10.110.15.0/24 <-> 10.110.16.0/24。
假設兩台主機 10.110.15.2 和 10.110.16.2 需要相互通訊。通常,我必須按照以下方式在每個主機上輸入持久靜態路由:
路由新增 10.110.16.0 mask 255.255.255.0 10.110.15.1 metric 1 -p (在「A」框上)
我還必須在 .16 主機上輸入另一個持久靜態路由,以便流量知道如何返回 .15 網路。請注意,每台機器的預設設定都是防火牆,因此 .1。
我在 Windows/ESX/*nux 電腦上新增持久路由沒有問題,但是我想從 .15 網路管理的 .16 網路中的智慧交換器又如何呢?
我需要運行路由協定嗎?我是否需要在 IPSec 隧道的兩端都啟用反向路由注入?我應該在防火牆上添加路由嗎?如果是這樣,你如何表達它?它的度量是否為 1,而我的預設路由 0.0.0.0 的度量是否為 2?
答案1
如果主機 A 和 B 上的預設閘道是各自的防火牆盒 (.1),那麼它應該已經在運作。
透過新增這些靜態路由,您所做的就是告訴主機將該子網路的流量定向到防火牆 - 如果預設閘道設定正確,它應該已經這樣做了。
另外,您確定主機 A 和 B 上的子網路遮罩設定正確嗎 - 如果您將其設定為 255.255.0.0,則會產生您所描述的症狀。