我可能应该从解释地形开始。我们有两个不同的 Internet 连接,带有单独的防火墙。一个是 ASA,一个是 Meraki。防火墙后面所有服务器的默认网关是 ASA (10.100.200.1)。
我遇到的问题是我们在 Meraki (10.100.200.2) 上有一个站点到站点连接,而站点到站点连接另一端的子网 (192.168.100.0) 的流量可以找不到路,因为它试图通过 ASA 的默认网关 (10.100.200.1)。
如果我在尝试将流量发送到子网 (192.168.100.0) 以使用 Meraki 的默认网关 (10.100.200.2) 的服务器上设置静态路由,它会起作用。如何在 ASA 上设置静态路由,以便通过 ASA 的任何流量都使用 Meraki 的默认网关传出?
我看到了 2 种可能的解决方案(除了 Roy 在他的回答中建议的在 ASA 后面添加一个路由器/l3 交换机之外):
在 ASA 上配置路由(如 RonMaupin 建议的那样)。但是,如果 Meraki 位于 ASA 内部,则还需要另外两件事:
same-security-traffic permit intra-interface在 ASA 上配置,因为流量将进入和退出内部接口。将 Meraki 放在 ASA 的 DMZ 上
您是否尝试在 ASA 上设置静态路由,以便将任何以 192.168.100.0/24 为目的地的流量发送到 10.100.200.2?就像是:
hostname(config)# route <if_name> <dest_ip> <mask> <gateway_ip> [distance]
Cisco 有很多文档解释这些事情,只要搜索一下就可以了。
不要从 ASA 重定向。简单的解决方案是拥有一个第 3 层交换机,其 IP 地址是默认网关,并且可以适当地路由流量。ASA 不是路由器。