【求助】新入职，碰到个双出口的问题，大佬们帮帮忙

Whale_Ol · 发表于 2019-11-2 13:33:26

如题，Cisco ASA 5515-X 当路由器通过拨号光纤上网，接三层交换，再接二层、POE、AC 等；三层交换机上配置 3 个 VLAN：一个管理设备、一个有线、一个无线。
目前需求是在原来 ADSL 光纤的基础上新增一条 DIA 专线，并新加个 VLAN，让原来的 3 个 VLAN 依旧走光纤，新增的 VLAN 用专线；
我目前只能做到单独配置出口，双出口的话就死活行不通，策略路由什么的也不太会配置；

想问下：现有 ASA 5515-X（9.8）到底能不能做到双出口，如果能求思路，给出关键命令最好？

补充内容 (2019-11-3 16:23):
增加简易的拓扑，在 #6。

ackca · 发表于 2019-11-2 13:53:33

当前能，不会的话就去学

TTTTTTommy · 发表于 2019-11-2 14:19:49

哥们，你的问题描述不太清楚，建议你以后提问可以画个拓扑图，然后标注下。
新增DIA专线，你可以接在ASA-5515上也可以接在3层交换机上，都是通过PBR实现，匹配新增vlan的网段，然后强制丢到DIA专线网关；其他vlan的网段不做任何改变。
如果需要帮助可以给我发消息，希望对你的问题有帮助。

xiaomaimaimai · 发表于 2019-11-2 15:34:45

专线接到核心上就行接什么出口

MYW1 · 发表于 2019-11-2 18:44:02

xiaomaimaimai 发表于 2019-11-2 15:34
专线接到核心上就行接什么出口

高手，几句话就把问题解决了

Whale_Ol · 发表于 2019-11-3 16:19:53

TTTTTTommy 发表于 2019-11-2 14:19
哥们，你的问题描述不太清楚，建议你以后提问可以画个拓扑图，然后标注下。
新增DIA专线，你可以接在ASA-5 ...

专线接三层交换上 ASA 的防火墙功能专线还能用到吗？另外后续打算串联一个上网行为管理到 ASA 和三层之间，专线是不是也不用不到了，只能改成旁路？
大概的拓扑是这样的：

示意图.png

Whale_Ol · 发表于 2019-11-3 16:20:35

xiaomaimaimai 发表于 2019-11-2 15:34
专线接到核心上就行接什么出口

专线接三层交换上 ASA 的防火墙功能专线还能用到吗？另外后续打算串联一个上网行为管理到 ASA 和三层之间，专线是不是也不用不到了，只能改成旁路？

TTTTTTommy · 发表于 2019-11-4 10:25:47

Whale_Ol 发表于 2019-11-3 16:19
专线接三层交换上 ASA 的防火墙功能专线还能用到吗？另外后续打算串联一个上网行为管理到 ASA 和三层之 ...

你的需求：
1、新增DIA上网专线（不影响目前现网存在的网段）
2、后面防火墙和三层交换机之间添加上网行为管理设备
3、DIA专线流量需要经过防火墙和上网行为管理设备

可选择方案（建议选择第一种，出故障排查方便）：
1、DIA直接接到防火墙上，到时候防火墙上配个DIA公网IP；在192.168.1.2接口入站方向上配置策略，匹配源IP为192.168.4.0/24网段，匹配到后直接丢到DIA下一跳，其他流量都允许通过不做限制。其他都不变。
2、DIA上网专线接到三层交换机上，不过需要实现上面的需求，得“绕路”了。DIA上网流量经过三层交换机、防火墙、三层交换机，然后走DIA专线出公网。需要在防火墙和三层交换机上新增策略。到时候在三层交换机上配个DIA公网IP；在192.168.1.2接口入站方向上配置策略，匹配源IP为192.168.4.0/24网段，匹配到后直接丢到三层交换机。在三层交换机上192.168.1.1接口入站方向上配置策略，
匹配源IP为192.168.4.0/24网段，直接丢到DIA专线下一跳。

Whale_Ol · 发表于 2019-11-4 11:31:02

TTTTTTommy 发表于 2019-11-4 10:25
你的需求：
1、新增DIA上网专线（不影响目前现网存在的网段）
2、后面防火墙和三层交换机之间添加上网 ...

嗯，就是按第一种做的，PBR 刚学，下一跳使用专线公网 IP，但是报错：Next hop address is our address；
下一跳用专线的网关？？

TTTTTTommy · 发表于 2019-11-4 12:44:44

Whale_Ol 发表于 2019-11-4 11:31
嗯，就是按第一种做的，PBR 刚学，下一跳使用专线公网 IP，但是报错：Next hop address is our address； ...

对的，DIA专线网关

Whale_Ol · 发表于 2019-11-4 13:02:33

TTTTTTommy 发表于 2019-11-4 12:44
对的，DIA专线网关

配置上去断网了，大佬帮忙看下写得有问题不，按照参数说明来的：

access-list 4 permit 192.168.4.0 255.255.255.0
route-map 4 permit 4
match ip route-source 4
set ip next-hop XXX.XXX.XXX.XXX
Interface GigabitEthernet0/1
policy-route route-map 4

复制代码

TTTTTTommy · 发表于 2019-11-4 13:38:59

Whale_Ol 发表于 2019-11-4 13:02
配置上去断网了，大佬帮忙看下写得有问题不，按照参数说明来的：

access-list 4 permit 192.168.4.0 255.255.255.0
route-map 4 permit 4
match ip route-source 4
set ip next-hop XXX.XXX.XXX.XXX
exit
route-map 4 permit 10
exit
Interface GigabitEthernet0/1
policy-route route-map 4

添加红色部分

Whale_Ol · 发表于 2019-11-4 13:48:30

红色部分是为了其他源地址默认全通过 ADSL？

TTTTTTommy · 发表于 2019-11-4 13:52:53

Whale_Ol 发表于 2019-11-4 13:02
配置上去断网了，大佬帮忙看下写得有问题不，按照参数说明来的：

access-list 4 permit 192.168.4.0 255.255.255.0
route-map 4 permit 4
match ip address 4
set ip next-hop XXX.XXX.XXX.XXX
exit
route-map 4 permit 10
exit
Interface GigabitEthernet0/1
policy-route route-map 4

添加红色部分

TTTTTTommy · 发表于 2019-11-4 13:53:40

Whale_Ol 发表于 2019-11-4 13:48
红色部分是为了其他源地址默认全通过 ADSL？

嗯，是的，其他流量还是按照原来的路线走

账号		自动登录	找回密码
密码			论坛注册

【求助】新入职，碰到个双出口的问题，大佬们帮帮忙

客服中心

投诉建议