请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 290|回复: 5

ASA 5515-X 双出口应用策略路由就断网

[复制链接]
发表于 2019-11-5 15:07:33 | 显示全部楼层 |阅读模式
3可用金钱
本帖最后由 cnyuwei27816 于 2019-11-5 16:02 编辑

如题,使用 Cisco ASA 5515-X 配置双出口:一条拨号光纤( 0/0 ),一条专线(新增,0/2 );配置静态路由走光纤,现在想新增一个 VLAN 使用 PBR 单独走专线,其余不变; 在 inside ( 0/1 )做的配置,如下:
  1. access-list vlan4 extended permit ip 192.168.4.0 255.255.255.0 any ( CiSCO 官网搜到标准 ACL 不支持匹配源地址,所以做了扩展 ACL )
  2. route-map dia permit 10
  3. match ip route-source vlan4
  4. set ip next-hop xxx.xxx.xxx.xxx (下一跳用的专线网关)
  5. exit
  6. route-map dia permit 20
  7. exit
  8. Interface GigabitEthernet0/1
  9. policy-route route-map dia
复制代码
看着没毛病啊,但是只要应用 PBR 就全部断网,郁闷!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-6 15:32:23 | 显示全部楼层
1、route-policy permit 20 也得写,匹配IP地址范围和下一跳
2、默认路由要写,专线的默认路由也得写(优先级调高)
3、PAT策略上建议也检查下配置
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-7 14:48:54 | 显示全部楼层
1、遵循先路由后NAT的思路,你策略路由写了,但是关于0/2接口的PAT写了么,就是上网用的源地址NAT

答:但是你内部全部断网了,应该不是NAT问题,因为0/1口有拨号专线的NAT

2、策略路由的配置很有问题,删除route-map dia permit 20这个命令,不需要,route-map在策略路由中,仅仅是包含的关系。。如果你不删除该命令就会导致所有内网都去了0/2

答:你遇到的问题,就是这个问题导致的,百分之99的可能

3、策略路由修改完成后,检查NAT配置即可。就是192.168.4.0/24这个网段需要做源地址转换,转换成0/2接口上面的公网地址或者0/2接口地址
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 6 天前 | 显示全部楼层
kongchao2013 发表于 2019-11-7 14:48
1、遵循先路由后NAT的思路,你策略路由写了,但是关于0/2接口的PAT写了么,就是上网用的源地址NAT

答: ...

多谢回复,已经换了方案,然后有了新的问题:
换成交换机接两个网关(一个是原来的防火墙,另外一台上网行为管理)

然后互相能 ping 通,但是网页、服务器无法访问;

网关、交换机上路由信息都是做了的,也用 ACL 设置了允许。

哥们知道啥情况咩
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
怎么没看到rooute-map匹配acl呢?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
策略不对
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-15 22:53 , Processed in 0.083542 second(s), 43 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表