ASA'dan L2'ye geçiş sorunu

ASA 5510'un ASA'ya bağlı bir L2 anahtarına bağlı aygıtlar için varsayılan ağ geçidi olarak çalıştığı bir kurulum var.

Temel kurulum:

ASA -> L2 switch -> Servers

Sunucular, gw'yi ASA üzerindeki subinterface ipine ayarladılar, ancak bazı nedenlerle, sunucular switch'in kendisinden veya güvenlik duvarından pinglenemezler.

İşte ASA'nın yapılandırması:

 interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 1.1.1.100 255.255.255.240 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.99.1.1 255.255.255.0 
!
interface Ethernet0/1.102
 vlan 102
 nameif internal
 security-level 100
 ip address 10.1.2.2 255.255.255.0

ASA'daki varsayılan gw, sağlayıcı uplink'e gider.

anahtardaki varsayılan gw ASA'dır. fw'ye bağlı anahtardaki port bir bagaj olarak kurulur.

L2 anahtarının yapılandırması temel olarak budur.

vlan 1

vlan 102

int vlan 1
ip add 10.99.1.2 255.255.255.0

int g0/1
desc To-ASA-5510
switchport trunk encap dot1q
switchport mode trunk

int g0/2
switchport access vlan 102

int g0/3
switchport access vlan 102

ip default-gateway 10.99.1.1

Sunucular 2 + 3 bağlantı noktalarına bağlanır.

Burada neyi özlüyorum? Oluşturulması gereken özel güvenlik duvarı kuralları var mı?

Teşekkürler

0
Herhangi bir cevap size yardımcı oldu mu? eğer öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar haşhaş olmayacak, bir cevap aramayacaktır. Alternatif olarak, kendi cevabınızı sağlayabilir ve kabul edebilirsiniz.
katma yazar Ron Maupin, kaynak
Orijinal postayı l2 switch yapılandırmasını içerecek şekilde düzenledim.
katma yazar c69, kaynak
ASA ile Anahtar gövdesi arasında bir problem var gibi görünüyorsanız, interface Ethernet0/1 'e IP adresi koyarsınız ve daha sonra alt arayüz oluşturursanız interface Ethernet0/1.102 arayüzüne yanlış bakarsınız. Üzerinde VLAN oluşturduysanız interface Ethernet0/1 'e ip adresi koymuyorsunuz, bu da int g0/1 ' de VLAN'a izin vermeniz gerektiğine inanıyorum. gövde
katma yazar jim, kaynak
Lütfen L2 Anahtarından konfigürasyon verin. Ayrıca ICMP aktif mi? Şu anda 5512X ;-) ile aynı Kurulum üzerinde çalışıyorum
katma yazar Jim Bryce, kaynak
Yerel VLAN'ı G0/1'de ve ayrıca bu bağlantı noktasındaki switchport erişimini isteğe bağlı olarak tanımlamamalı mıydı? Ama tamamen emin değilim.
katma yazar Jim Bryce, kaynak

1 cevap

Burada iki sorun var:

  1. VLAN 1'den (geçiş) VLAN 102'ye (sunucular) ping yapmaya çalışıyorsunuz.

    ASA, aynı arabirim arasındaki trafiği iletmeyecek Açıkça izin vermedikçe güvenlik seviyesi.

aynı güvenlik trafiği izni arayüzler arası

  1. ASA, varsayılan olarak ICMP'yi engeller. İzin vermelisin.
  icmp içeride etkinleştir
icmp dahili olarak etkinleştir
 

Neyin engellendiğini ve neden olduğunu görmek için ASA günlüğüne de bakabilirsiniz.

1
katma