我们正在尝试将Cisco ASA用作VPN,并将流量转发到两台服务器。
我们的ISP为我们提供了一系列连续的IP地址。 154.223.252.146-149 默认GW为154.223.252.145,我们使用的是网络掩码255.255.255.240
我们将第一个154.223.252.146分配给我们ASA上的外部接口,并成功托管我们的VPN服务。它很棒。
下一个也是最后一个目标是将154.223.252.147转发https流量转发到10.1.90.40和154.223.252.148转发https流量到10.1.94.40。
我们当前的阻止程序是我们无法获取asa的外部接口来响应这些ip地址。
我们已经能够使用154.223.252.146正确转发https流量。所以我们知道这很有效。
我已将笔记本电脑插入我们ISP的交换机,并已成功手动分配154.223.252.147和154.223.252.148,默认gw为154.223.252.145,并且很高兴连接。所以我们知道IP已存在且可用,我们只需要说服ASA回应它们并使用它们转发https。
我们尝试将交换机的电缆插入防火墙的其他接口。这失败了,因为网络掩码与我们的第一个外部接口154.223.252.146 255.255.255.240重叠,思科讨厌这个并且不允许它。
我们已经阅读了文档,并且听说通过定义vlan可以为ouside接口分配一系列IP。我们不知道如何成功地完成这项工作并且尝试失败了。
使用Cisco ASA完成此配置的最佳方法是什么?
答案 0 :(得分:-1)
思科拥有在此ASA上启用的主动扫描技术。我们能够通过间歇性的不良行为来诊断它。经过足够长的故障排除后,我们意识到某些行为与我们正在进行的更改无法保持一致。所以我们开始寻找防火墙自己试图做的事情。最终帮助我们缩小范围。禁用主动扫描允许我们的外部vlan配置工作。现在继续收紧配置。