Автор |
Сообщение |
theKimsterFTW
Зарегистрирован: 11 окт 2017, 11:16 Сообщения: 4
|
Здравствуйте. ASA подключена к стеку свичей Catalyst 2960 через Etherchannel (через два порта giEth1/0/48 и giEth1/0/49; со стороны ASA giEth0/0 и giEth0/1). Два VLAN 10 и 20, между ними нужно организовать передачу данных. Шлюз по умолчанию ASA. С хостов пингуются сабинтерфейсы на ASA. С ASA хосты тоже доступны. Разрешающие ACL есть. Лицензия Security Plus. Проблема в том, что пинг между vlan не идёт. Заранее спасибо за помощь конфигурация на свиче Код: vlan 10 name MANAG ! vlan 20 name SERVERS
interface Port-channel1 description TO_ASA switchport trunk allowed vlan 10,20 switchport mode trunk
interface GigabitEthernet1/0/48 description TO_ASA switchport trunk allowed vlan 10,20 switchport mode trunk channel-group 1 mode active
interface GigabitEthernet1/0/49 description TO_ASA switchport trunk allowed vlan 10,20 switchport mode trunk channel-group 1 mode active
interface GigabitEthernet1/0/1 (подключен хост с ip 10.10.10.50/24, шлюз 10.10.10.254) switchport access vlan 10 switchport mode access
interface GigabitEthernet1/0/2 switchport access vlan 20 (подключен хост с ip 10.10.20.50/24, шлюз 10.10.20.254 ) switchport mode access
конфигурация на ASA Код: interface GigabitEthernet0/0 channel-group 1 mode active no nameif no security-level no ip address ! interface GigabitEthernet0/1 channel-group 1 mode active no nameif no security-level no ip address ! interface GigabitEthernet0/2 nameif ISP_BTK security-level 0 ip address X.X.X.X 255.255.255.248 ! interface Port-channel1.10 vlan 10 nameif MANAG security-level 90 ip address 10.10.10.254 255.255.255.0 ! interface Port-channel1.20 vlan 20 nameif SERVERS security-level 90 ip address 10.10.20.254 255.255.255.0
same-security-traffic permit inter-interface same-security-traffic permit intra-interface
object network MANAG_Nets_BTK subnet 10.10.10.0 255.255.255.0 object network SERVERS_Nets_BTK subnet 10.10.20.0 255.255.255.0
object network SERVERS_Nets_BTK nat (SERVERS,ISP_BTK) dynamic interface object network MANAG_Nets_BTK nat (MANAG,ISP_BTK) dynamic interface
route ISP_BTK 0.0.0.0 0.0.0.0 A.B.C.D 2 track 1
access-list MANAG_access_in line 1 extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-group MANAG_access_in in interface MANAG
access-list SERVERS_access_in line 1 extended permit ip 10.10.20.0 255.255.255.0 10.10.10.0 255.255.255.0 access-group SERVERS_access_in in interface SERVERS
|
04 ноя 2017, 14:56 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
антивирусы, фаерволы, встроенный брендмауэр
|
04 ноя 2017, 18:01 |
|
|
theKimsterFTW
Зарегистрирован: 11 окт 2017, 11:16 Сообщения: 4
|
crash писал(а): антивирусы, фаерволы, встроенный брендмауэр два хоста на Windows Server 2012 ничего из списка нет
|
04 ноя 2017, 18:05 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Муахаха. Это вам не роутер. Это поделка с корнями из тупой атс (PIX ~ PBX). Вы очередной застрявший чел из этой статьи: http://3cvguy.com/cisco-asa/Цитата: ASA-CLI (config) # same –security-traffic permit inter-interface Here is where many people get stuck.
|
04 ноя 2017, 18:17 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
theKimsterFTW писал(а): crash писал(а): антивирусы, фаерволы, встроенный брендмауэр два хоста на Windows Server 2012 ничего из списка нет либо у нас разные производители операционных систем, либо вы не в курсе что у вас в ней есть
|
04 ноя 2017, 18:29 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
_2e_ писал(а): Муахаха. Это вам не роутер. Это поделка с корнями из тупой атс (PIX ~ PBX). Вы очередной застрявший чел из этой статьи:
разве не это theKimsterFTW писал(а): same-security-traffic permit inter-interface same-security-traffic permit intra-interface ?
|
04 ноя 2017, 18:30 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
_2e_ писал(а): Муахаха. Это вам не роутер. Это поделка с корнями из тупой атс (PIX ~ PBX). Вы очередной застрявший чел из этой статьи: http://3cvguy.com/cisco-asa/ASA-CLI (config) # same –security-traffic permit inter-interface Вот что пишут в CCNA Security Цитата: To allow connectivity between interfaces with the same security levels, the same-security-traffic permit inter-interface global configuration mode command is required. To enable traffic to enter and exit the same interface, such as when encrypted traffic enters an interface and is then routed out the same interface unencrypted, use the same-security-traffic permit intra-interface global configuration mode command.
И тоже ни слова о маршрутах между VLAN а потом люди сидят и репу чешут.
|
07 ноя 2017, 00:53 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Учился я когда-то давно на ccna sec - абсолютно бестолковый ублюдочный курс ни о чём. Старайтесь избегать этого.
|
07 ноя 2017, 09:29 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Посоветуйте как учится более эффективно, если в отделе Вы один сетевой админ и нет ментора для поглощения знаний
|
07 ноя 2017, 15:17 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Jasson писал(а): Посоветуйте как учится более эффективно, если в отделе Вы один сетевой админ и нет ментора для поглощения знаний Впитывай...
|
07 ноя 2017, 17:33 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
вывод пакет трейсера в студию. Нужны настройки Ната, сейчас все запросы натятся в оутсайд. и еще eigrp надо настроить
Нормально аса роутит вланы.
|
07 ноя 2017, 23:08 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Demm писал(а): и еще eigrp надо настроить для чего?
|
08 ноя 2017, 07:19 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Хм, наверно да, не нужен егрп. Но нат вида object network net200.0 nat (inside,wifi-guest) static 192.168.200.0 нужен
|
08 ноя 2017, 10:17 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
у меня без NAT работало.
|
08 ноя 2017, 10:32 |
|
|
theKimsterFTW
Зарегистрирован: 11 окт 2017, 11:16 Сообщения: 4
|
Спасибо за информацию Добавлю NAT
|
08 ноя 2017, 12:42 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Инспекцию ICMP включите ... если хотите, чтоб пинги ходили.
_________________ @k@ fantik
|
08 ноя 2017, 13:51 |
|
|