我现在正在实验室上,并且ASA路由遇到一些问题。

这是当前的网络拓扑:



当前如果我登录到ASA或路由器上的控制台,则可以毫无问题地访问Internet。第二个我登录到第3层交换机,我只能ping ASA的内部接口。这使我相信我在ASA的返回路由方面遇到问题。

我希望第3层交换机执行Intervlan路由(就是这样)。

这提出几个问题:


最佳实践方法-我应该让路由器或ASA处理NAT(超载)吗?
我可以ping 172.16.2.2接口,但是而不是来自连接到第2层交换机之一的PC的172.16.2.1(证明Intervlan路由正常工作-我在PC上有一个172.20.100.8地址)。为什么不能从PC上ping 172.16.2.1,但是可以从三层交换机上ping?
我现在无法从DHCP服务器(Windows)获得IP地址。
而且最重要的是-为什么我不能从第3层交换机访问Internet?

这里是配置的串联转储:

第3层交换机:

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
service unsupported-transceiver
!
!
!
no aaa new-model
!
ip vrf mgmtVrf
!         
!         
!         
vtp mode transparent
!         
!         
!         
!         
!         
!         
spanning-tree mode pvst
spanning-tree extend system-id
!         
vlan internal allocation policy ascending
!         
vlan 3,12,100 
!         
!         
!         
!         
!         
!         
!         
interface FastEthernet1
 ip vrf forwarding mgmtVrf
no ip address
 speed auto
 duplex auto
!         
interface GigabitEthernet1/1
 no switchport
 ip address 172.16.2.2 255.255.255.224
!         
interface GigabitEthernet1/2
 switchport mode trunk
 shutdown 
!         
interface GigabitEthernet1/3
 switchport mode trunk
!         
interface GigabitEthernet1/4
 switchport mode trunk
!         
interface GigabitEthernet1/5
 switchport mode trunk
!         
interface GigabitEthernet1/6
 switchport mode trunk
!         
interface GigabitEthernet1/7
 switchport mode trunk
!         
interface GigabitEthernet1/8
 switchport mode trunk
!         
interface GigabitEthernet1/9
 switchport mode trunk
!         
interface GigabitEthernet1/10
 switchport mode trunk
!         
interface GigabitEthernet1/11
 switchport mode trunk
!         
interface GigabitEthernet1/12
 switchport mode trunk
!         
interface GigabitEthernet1/13
 switchport mode trunk
!         
interface GigabitEthernet1/14
 shutdown 
!         
interface GigabitEthernet1/15
 shutdown 
!         
interface GigabitEthernet1/16
 shutdown 
!         
interface Vlan1
 no ip address
!         
interface Vlan3
 ip address 172.19.3.1 255.255.255.0
 ip helper-address 172.20.100.27
!     
interface Vlan12
 ip address 172.19.12.1 255.255.255.240
 ip helper-address 172.20.100.27
!        
interface Vlan100
 ip address 172.20.100.1 255.255.255.224
 ip helper-address 172.20.100.27
!         
!         
no ip http server
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!         
!         
!         
!     
line con 0
 logging synchronous
 stopbits 1
line vty 0 4
 login    
!         
end



ASA Version 8.6(1)2 
!
hostname ciscoasa
names
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.10 255.255.255.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.2.1 255.255.255.224 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown     
 no nameif    
 no security-level
 no ip address
!             
interface GigabitEthernet0/4
 shutdown     
 no nameif    
 no security-level
 no ip address
!             
interface GigabitEthernet0/5
 shutdown     
 no nameif    
 no security-level
 no ip address
!             
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 management-only

ftp mode passive
object network OBJ_GENERIC_ALL
 subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
no failover   
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-66114.bin
no asdm history enable
arp timeout 14400
nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5 
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!             
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn        
!             
class-map inspection_default
 match default-inspection-traffic
!             
!             
policy-map type inspect dns preset_dns_map
parameters   
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!             
service-policy global_policy global
prompt hostname context 
no call-home reporting anonymous


路由器配置:

version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no platform punt-keepalive disable-kernel-core
!
!
boot-start-marker
boot-end-marker
!
!
vrf definition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!         
!         
no aaa new-model
!         
!         
!         
!         
!         


!         
!         
!         
!         
!         
multilink bundle-name authenticated
!         
!         
!         
!         
!         
!         
!         
!         
!         
redundancy
 mode none
!         
!         
!         
ip tftp source-interface GigabitEthernet0
!         
!         
!         
!         
!         
!         
!         
interface GigabitEthernet0/0/0
 ip address 204.28.125.74 255.255.255.252
 ip nat outside
 negotiation auto
!         
interface GigabitEthernet0/0/1
 no ip address
 shutdown 
 negotiation auto
!         
interface GigabitEthernet0/0/2
 no ip address
 shutdown 
 negotiation auto
!         
interface GigabitEthernet0/0/3
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 negotiation auto
!         
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 no ip address
 shutdown 
 negotiation auto
!         
ip nat inside source list 1 interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 200.200.200.200
!         
access-list 1 permit 172.16.1.0 0.0.0.255
!         
!         
!         
control-plane
!         
!         
line con 0
 logging synchronous
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login    
!         
!         
end       


#1 楼


最佳实践明智-我应该让路由器或ASA处理NAT
(超载)吗?


在最一般的设计最佳实践中,NAT是在两次内部和外部网络。当公共IP地址空间有限时,NAT重载通常在边缘执行。您可以在RFC 2663中了解有关NAT超载(也称为端口地址转换或PAT)的更多信息(PAT在4.1.2节中称为网络地址端口转换(NAPT))。

在这种特定情况下,您可以辩称您有两个内部和外部网络,并且都需要在两个ASA上都执行某种形式的NAT(无论这是您现在正在使用的NAT超载)免税,静态NAT等)和Cisco路由器。


我可以从连接到第2层交换机之一的PC上ping 172.16.2.2接口,但不能ping 172.16.2.1(证明Intervlan路由有效-我在PC上有一个172.20.100.8地址)。为什么我不能从PC ping
172.16.2.1,但可以从第3层交换机ping?


ASA 172.16.2.2正在接收ICMP回显请求,但没有路由回到172.20.100.0/27。实际上,回声回复是通过默认路由转发到路由器172.16.1.1的。


最重要的是-为什么我不能从第3层交换机连接到Internet ?


当前,您的ASA和Cisco路由器没有到内部设备的路由,除了它们的连接路由。

您的ASA配置:

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1


这将通过外部接口提供默认路由,但是ASA如何知道如何访问位于第3层分布交换机后面的子网?

ll需要使用第3层分发交换机作为下一跳IP地址通过内部接口添加到内部子网的路由。

ASA静态路由示例:

route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2


进一步阅读:ASA静态路由

您的Cisco路由器的配置:

ip route 0.0.0.0 0.0.0.0 200.200.200.200


此外,边界路由器将如何知道如何到达除已连接路由以外的子网,并捕获所有默认路由通过外部接口的下一跳地址200.200.200.200

路由器静态路由示例:

ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10


进一步阅读:ISR静态路由


我现在无法从DHCP服务器(Windows)获取IP地址。
是否对原因有任何了解?


请确保您已经结束了-从发送DHCP发现消息的客户端到DHCP服务器之间的IP可达性。

从我的拓扑结构和配置中收集的信息来看,子网172.19.3.0/24172.19.12.0/28172.20.100.0/27应该没有问题从网络角度来看彼此连接(假设它们已配置为使用各自的默认网关)。

鉴于DHCP服务器为,您可以从SVI 100中删除ip helper-address语法。在同一段上,并且该命令用于不同段上的DHCP服务器。

interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27


评论


这帮助了我,谢谢。我有一个类似的网络,但是使用ASA-5505,不同之处在于VLAN接口。添加内部和外部路线对我有用。

–user11885
2014年12月14日在22:22

#2 楼

我们不需要边缘路由器上内部子网的任何反向路由,因为我们正在防火墙上进行nat,因此从ASA传出的每个数据包都将仅具有外部接口的IP地址(具有不同的Port)和

此外部接口直接连接到边缘路由器,因此边缘路由器不需要反向路由