ASA 5505防火墙双线路问题

seasonli72658 · ‎08-02-2019

ASA防火墙接了两个运营商线路，一个电信outside一个联通outside1，做了

冗余备份，为什么我下连的所有交换机和路由器只能ping通优先级高的电信线路的公网ip

，另一个联通的ping不通，我看核心交换机ip route 0.0.0.0 0.0.0.0 10.99.201.1路由是这样写的，这个接口是outside的，我怎么让下连的所有设备可以ping通那个联通的地址呢

YilinChen · ‎08-02-2019

ASA还是传统防火墙，默认路由只能有一条生效，备用出口需要基于策略路由，或大段的明细路由来引导流量；
比如大段的联通明细路由，下一跳是联通，默认路由下一跳指向电信；
针对内部某些地址段可以通过策略路由来指向特定出口；

seasonli72658 · ‎08-02-2019

YilinChen 发表于 2019-8-2 18:20
ASA还是传统防火墙，默认路由只能有一条生效，备用出口需要基于策略路由，或大段的明细路由来引导流量；
...

如果我外网想访问联通的公网地址这个怎么访问呢

wuleihen · ‎08-04-2019

YilinChen 发表于 2019-8-2 18:20
ASA还是传统防火墙，默认路由只能有一条生效，备用出口需要基于策略路由，或大段的明细路由来引导流量；
...

5505不支持策略路由，最新版本达不到，5506支持

limerez01 · ‎08-04-2019

这不就得PBR了嘛

Wubin2010 · ‎08-05-2019

运营商明细路由+默认路由

seasonli72658 · ‎08-05-2019

Wubin2010 发表于 2019-8-5 15:49
运营商明细路由+默认路由

能具体说一下吗，没太明白什么意思，最好举例谢谢

Lee15166 · ‎08-06-2019

想要实现电信线路 + 联通线路都使用，可以考虑使用pbr：
1、默认路由走电信（公司内部普通员工的出口）
2、明细网段走联通（公司内部老板的出口）

Wubin2010 · ‎08-06-2019

seasonli72658 发表于 2019-8-6 09:25
能具体说一下吗，没太明白什么意思，最好举例谢谢

百度搜一下运营商路由，比如电信明细路由刷上去，那么上外网主走电信，当电信断了，走默认路由，默认路由走其他isp

jasonzhan3151 · ‎08-07-2019

YilinChen 发表于 2019-8-2 18:20
ASA还是传统防火墙，默认路由只能有一条生效，备用出口需要基于策略路由，或大段的明细路由来引导流量；
...

下一代防火墙能生效两条路由吗，怎么操作？

YilinChen · ‎08-07-2019

jasonzhan3151 发表于 2019-8-8 13:58
下一代防火墙能生效两条路由吗，怎么操作？

具体是什么型号呢？如果指ASA5500X系列，已经支持策略路由了。

jasonzhan3151 · ‎08-08-2019

YilinChen 发表于 2019-8-8 14:55
具体是什么型号呢？如果指ASA5500X系列，已经支持策略路由了。

哦哦，就是使用的策略路由来做的哦，根据源或者目的来走，这样能做两条相同的默认路由吗，后面把策略加上去这样

shozhang · ‎08-08-2019

嗨，你可以开启icmp监控功能，inspect icmp:
具体配置：
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp

cnyuwei27816 · ‎11-04-2019

Lee15166 发表于 2019-8-7 07:50
想要实现电信线路 + 联通线路都使用，可以考虑使用pbr：
1、默认路由走电信（公司内部普通员工的出口） ...

设备是 5515-X，版本 9.8，之前只有一条拨号光纤，用静态路由做的设置；
现在新增一条专线，想实现：原来的不变，让 192.168.4.0 网段用专线访问网络；
我添加的 PBR 应用就断网：

access-list vlan4 extended permit ip 192.168.4.0 255.255.255.0 any （ CiSCO 官网搜到标准 ACL 不支持匹配源地址，所以做了扩展 ACL ）
route-map dia permit 10
match ip route-source vlan4
set ip next-hop xxx.xxx.xxx.xxx （下一跳用的专线网关）
exit
route-map dia permit 20
exit
Interface GigabitEthernet0/1
policy-route route-map dia

大佬帮我看下，哪里有问题，需要怎么改？