这是当前的网络拓扑:
当前如果我登录到ASA或路由器上的控制台,则可以毫无问题地访问Internet。第二个我登录到第3层交换机,我只能ping ASA的内部接口。这使我相信我在ASA的返回路由方面遇到问题。
我希望第3层交换机执行Intervlan路由(就是这样)。
这提出几个问题:
最佳实践方法-我应该让路由器或ASA处理NAT(超载)吗?
我可以ping 172.16.2.2接口,但是而不是来自连接到第2层交换机之一的PC的172.16.2.1(证明Intervlan路由正常工作-我在PC上有一个172.20.100.8地址)。为什么不能从PC上ping 172.16.2.1,但是可以从三层交换机上ping?
我现在无法从DHCP服务器(Windows)获得IP地址。
而且最重要的是-为什么我不能从第3层交换机访问Internet?
这里是配置的串联转储:
第3层交换机:
version 15.1 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config service unsupported-transceiver ! ! ! no aaa new-model ! ip vrf mgmtVrf ! ! ! vtp mode transparent ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 3,12,100 ! ! ! ! ! ! ! interface FastEthernet1 ip vrf forwarding mgmtVrf no ip address speed auto duplex auto ! interface GigabitEthernet1/1 no switchport ip address 172.16.2.2 255.255.255.224 ! interface GigabitEthernet1/2 switchport mode trunk shutdown ! interface GigabitEthernet1/3 switchport mode trunk ! interface GigabitEthernet1/4 switchport mode trunk ! interface GigabitEthernet1/5 switchport mode trunk ! interface GigabitEthernet1/6 switchport mode trunk ! interface GigabitEthernet1/7 switchport mode trunk ! interface GigabitEthernet1/8 switchport mode trunk ! interface GigabitEthernet1/9 switchport mode trunk ! interface GigabitEthernet1/10 switchport mode trunk ! interface GigabitEthernet1/11 switchport mode trunk ! interface GigabitEthernet1/12 switchport mode trunk ! interface GigabitEthernet1/13 switchport mode trunk ! interface GigabitEthernet1/14 shutdown ! interface GigabitEthernet1/15 shutdown ! interface GigabitEthernet1/16 shutdown ! interface Vlan1 no ip address ! interface Vlan3 ip address 172.19.3.1 255.255.255.0 ip helper-address 172.20.100.27 ! interface Vlan12 ip address 172.19.12.1 255.255.255.240 ip helper-address 172.20.100.27 ! interface Vlan100 ip address 172.20.100.1 255.255.255.224 ip helper-address 172.20.100.27 ! ! no ip http server ip route 0.0.0.0 0.0.0.0 172.16.2.1 ! ! ! ! line con 0 logging synchronous stopbits 1 line vty 0 4 login ! end
ASA Version 8.6(1)2 ! hostname ciscoasa names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 172.16.1.10 255.255.255.0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 172.16.2.1 255.255.255.224 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/4 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/5 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ftp mode passive object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-66114.bin no asdm history enable arp timeout 14400 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface route outside 0.0.0.0 0.0.0.0 172.16.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context no call-home reporting anonymous
路由器配置:
version 15.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no platform punt-keepalive disable-kernel-core ! ! boot-start-marker boot-end-marker ! ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! ! no aaa new-model ! ! ! ! ! ! ! ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! redundancy mode none ! ! ! ip tftp source-interface GigabitEthernet0 ! ! ! ! ! ! ! interface GigabitEthernet0/0/0 ip address 204.28.125.74 255.255.255.252 ip nat outside negotiation auto ! interface GigabitEthernet0/0/1 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/2 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/3 ip address 172.16.1.1 255.255.255.0 ip nat inside negotiation auto ! interface GigabitEthernet0 vrf forwarding Mgmt-intf no ip address shutdown negotiation auto ! ip nat inside source list 1 interface GigabitEthernet0/0/0 overload ip forward-protocol nd ! no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 200.200.200.200 ! access-list 1 permit 172.16.1.0 0.0.0.255 ! ! ! control-plane ! ! line con 0 logging synchronous stopbits 1 line aux 0 stopbits 1 line vty 0 4 login ! ! end
#1 楼
最佳实践明智-我应该让路由器或ASA处理NAT
(超载)吗?
在最一般的设计最佳实践中,NAT是在两次内部和外部网络。当公共IP地址空间有限时,NAT重载通常在边缘执行。您可以在RFC 2663中了解有关NAT超载(也称为端口地址转换或PAT)的更多信息(PAT在4.1.2节中称为网络地址端口转换(NAPT))。
在这种特定情况下,您可以辩称您有两个内部和外部网络,并且都需要在两个ASA上都执行某种形式的NAT(无论这是您现在正在使用的NAT超载)免税,静态NAT等)和Cisco路由器。
我可以从连接到第2层交换机之一的PC上ping
172.16.2.2
接口,但不能ping 172.16.2.1
(证明Intervlan路由有效-我在PC上有一个172.20.100.8
地址)。为什么我不能从PC ping 172.16.2.1
,但可以从第3层交换机ping?ASA
172.16.2.2
正在接收ICMP回显请求,但没有路由回到172.20.100.0/27
。实际上,回声回复是通过默认路由转发到路由器172.16.1.1
的。最重要的是-为什么我不能从第3层交换机连接到Internet ?
当前,您的ASA和Cisco路由器没有到内部设备的路由,除了它们的连接路由。
您的ASA配置:
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
这将通过外部接口提供默认路由,但是ASA如何知道如何访问位于第3层分布交换机后面的子网?
ll需要使用第3层分发交换机作为下一跳IP地址通过内部接口添加到内部子网的路由。
ASA静态路由示例:
route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2
进一步阅读:ASA静态路由
您的Cisco路由器的配置:
ip route 0.0.0.0 0.0.0.0 200.200.200.200
此外,边界路由器将如何知道如何到达除已连接路由以外的子网,并捕获所有默认路由通过外部接口的下一跳地址
200.200.200.200
?路由器静态路由示例:
ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10
进一步阅读:ISR静态路由
我现在无法从DHCP服务器(Windows)获取IP地址。
是否对原因有任何了解?
请确保您已经结束了-从发送DHCP发现消息的客户端到DHCP服务器之间的IP可达性。
从我的拓扑结构和配置中收集的信息来看,子网
172.19.3.0/24
,172.19.12.0/28
和172.20.100.0/27
应该没有问题从网络角度来看彼此连接(假设它们已配置为使用各自的默认网关)。鉴于DHCP服务器为,您可以从SVI 100中删除
ip helper-address
语法。在同一段上,并且该命令用于不同段上的DHCP服务器。 interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27
#2 楼
我们不需要边缘路由器上内部子网的任何反向路由,因为我们正在防火墙上进行nat,因此从ASA传出的每个数据包都将仅具有外部接口的IP地址(具有不同的Port)和此外部接口直接连接到边缘路由器,因此边缘路由器不需要反向路由
评论
这帮助了我,谢谢。我有一个类似的网络,但是使用ASA-5505,不同之处在于VLAN接口。添加内部和外部路线对我有用。
–user11885
2014年12月14日在22:22