论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-03-20 23:40 |只看该作者 |倒序浏览

拓扑结构为ASA5510 E0/0口连电信光纤
E0/1口nameif inside, 安全等级100，IP192.168.18.1连18网段
E0/2口nameif inside2,安全等级100，IP192.168.19.1 连19网段

需要实现18网段和19网段的互访，现在的问题是E0/1口上连一台18网段的计算机可以ping通E0/1口IP但是ping不通E0/2的IP，请问大家这是什么原因。

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-03-21 11:22 |只看该作者

2个安全级别相同的区域内的端口之间无法访问。

因此，修改一个区域的安全级别。然后做ACL允许。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jeekey00

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2009-03-21 11:37 |只看该作者

不同安全级的话有个问题就是低安全级访问高安全级需要做NAT，只是为了两个内网网段间互访这样做的话太麻烦了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jeekey00

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2009-03-22 22:21 |只看该作者

今天又去折腾了一天，inspect icmp ,same-security-traffic permit inter-interface,做透明模式，ACL 全permit 都试过了，两个内网网段还是不能互通，只有用NAT才能通，不过也是单向的。。。最后只能拿台3层交换机做两网段互通了。。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

5楼 [报告]

发表于 2009-03-23 10:16 |只看该作者

不会吧。难道ASA5510这么二啊。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

6楼 [报告]

发表于 2009-03-23 10:16 |只看该作者

不过你划到同一个安全区域应该可以，不知道你的环境允许不。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

pingtelnet

丰衣足食

论坛徽章:: 0

7楼 [报告]

发表于 2009-03-23 10:29 |只看该作者

看看这个是否对你有帮助？

使用nat指明一组地址，那么这组地址访问低安全级别或相同安全级别的接口的时候必须要执行NAT转换；当这组地址访问高安全级别接口接口的时候，使用outside关键字的时候，DMZ的主机访问Inside的主机的时候，DMZ主机的地址就会被转换为一个Inside网段的一个地址；如果不使用该关键字，那么流量返回的时候只会根据static转换条目转发；
hostname(config)#nat (dmz) 1 10.1.1.0 255.255.255.0 outside
hostname(config)#nat (dmz)1 10.1.1.0 255.255.255.0
hostname(config)#static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255 //用于DMZ访问inside
hostname(config)#global(outside) 1 209.165.201.3-209.165.201.4
hostname(config)#global(inside) 1 10.1.2.30-10.1.2.40
当DMZ的主机访问outside的时候，将源地址转换为209.165.201.3-209.165.201.4中的地址；由于存在到内部的静态NAT，所以允许从DMZ访问内部主机10.1.2.27，当DMZ访问内部10.1.2.27主机的时候，包的源地址为自己的地址，目的地址为10.1.1.5，ASA将源地址被转换为10.1.2.30-10.1.2.40中的地址，目的地址根据静态转换转换为10.1.2.27；

asanat.JPG (30.37 KB, 下载次数: 34)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jeekey00

稍有积蓄

论坛徽章:: 0

8楼 [报告]

发表于 2009-03-24 09:29 |只看该作者

谢谢大家帮忙解答，原本就是相同安全级互通不了，management-access只能用在一个接口上做管理接口用。客户那边已经添加了台3层交换机，防火墙就按正常情况的inside outsideNAT弄好了。如果要两内网段互通估计得按8楼说的做，两相同安全级之间通信也需要做NAT映射。

我觉得这样配应该可以，不过没空去验证了
nat (inside) 1 192.168.18.0 255.255.255.0
nat (inside) 1 192.168.18.0 255.255.255.0 outside
global (inside2) 1 int
global (outside) 1 int
nat (inside2) 1 192.168.19.0 255.255.255.0
nat (inside2) 1 192.168.19.0 255.255.255.0 outside
global (inside) 1 int
global (outside) 1 int

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

chenhawk

家境小康

论坛徽章:: 0

9楼 [报告]

发表于 2009-03-24 14:33 |只看该作者

LZ也没说清楚怎么配置的啊，从LZ的描述上看，开始没配NAT。就算是交换机也得配个三层，两个24位的掩码的网段才能通啊。如果从设计角度，还是建议用三层交换机做两个网段的互通吧，然后再把请求发到inside口上面。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

10楼 [报告]

发表于 2009-03-29 17:54 |只看该作者

static (inside,outside) 10.217.1.22 10.217.1.22 netmask 255.255.255.255 0 0
static (inside,outside) 10.217.1.29 10.217.1.29 netmask 255.255.255.255 0 0

应该是12楼的配置了。这个是PIX的，ASA的不太清楚了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 急，一个ASA5510的问题

急，一个ASA5510的问题 [复制链接]

看看这个是否对你有帮助？