我试图强制从EC2实例到VPC内的Cisco ASAv的流量,但在尝试的每一种方法时都遇到了困难。我的设置如下所示;
私有子网>ASAv>公共子网>AWS IGW
2个自定义路由表;1用于使用igw的public,1用于使用默认NAT实例的private。
我已经使用EIP映射到专用IP(公用子网)之外的ASAv,并且在ASAv中,我已经设置了一个NAT转发规则到位于专用子网中的EC2实例。然而,当我在EC2私有子网上执行数据包捕获时(使用辅助NIC通过单独的公共EIP RDP访问它),我没有看到来自私有NIC的流量(BC除外)。我甚至在EC2中放入了静态路由,通过ASA内部接口发送默认路由,但没有乐趣。即使我删除了公共NIC,我也不会从位于专用子网上的EC2收到任何响应。
我看到在每个路由表中都有一个本地CIDR路由自动填充(无论是主路由还是自定义路由)。
我认为这条路线不能删除是对的吗?我该如何实现我的目标?
实际上,我在一个多月前就遇到了这个问题。确保检查您的AWS NACL。例如,请确保允许0.0.0.0/0 https和http。对于你的AWS VPC路由,使用ENI作为你的内部ASA接口(应该在你的私有子网上)。当您确保ASA内部的路由将0.0.0.0/0路由指向外部接口GW时(这将是外部接口子网的第一个ip地址。您还必须确保NAT语句(Cisco ASAv)设置正确。