отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

1006
Просмотры
0
Полезный материал
14
Ответы
Parvin
Beginner

Cisco Router with Cisco ASA and Cisco Switch for Internet Access простые настройки

доброе день коллеги подскажите пожалуйста в этом топология, настроил простые настройки на Cisco ASA топология выглядит такое, вопрос у меня такое, шас компы видят адреса свои шлюзы и не видят эти адреса
ip 10,0,0,2 этот адрес на р1
ip 50,50,50,2 этот адрес от Провайдера
на других адреса пинг есть

5cd0b94b21.png
все настройки который я настроил на р1, Cisco ASA, и S1

настройки на р1

hostname R1
int et0/0
no ip redirect
no ip proxy-arp
ip add 50.50.50.1 255.255.255.0
ip nat outside
!
int et0/1
no ip redirect
no ip proxy-arp
ip add 10.0.0.1 255.255.255.0
ip nat inside
!
ip nat inside source list FOR-NAT interface eth0/0 overload
ip route 0.0.0.0 0.0.0.0 50.50.50.2
ip route 192.168.0.0 255.255.0.0 10.0.0.2
!
ip access-list extande FOR-NAT
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.0.0.255 any
!
настройки Cisco ASa
int gi0/0
nameif outside
security-level 0
ip add 10.0.0.2 255.255.0
!
int gi0/1
no nameif
no secyrity-level
no ip address
!
int gi0/1.10
vlan 10
nameif inside10
security-level 100
ip add 192.168.10.1 255.255.255.0
!
int gi0/1.20
vlan 20
nameif inside20
security-level 90
ip add 192.168.20.1 255.255.255.0
!
int gi0/1.30
vlan 30
nameif inside30
security-level 80
ip add 192.168.30.1 255.255.255.0
!
другие интерфейсы не трогал
!
domain-name CCNP
!
object network inside10_LAN
subnet 192.168.10.1 255.255.255.0
!
object network inside20_LAN
subnet 192.168.20.1 255.255.255.0
!
object network inside30_LAN
subnet 192.168.30.1 255.255.255.0
!
access-list aoutside extended permit icmp any any
access-group aoutside in interface outside
!
access-list inside10 extended permit icmp any any
access-group inside10 in interface inside10
!
access-list inside20 extended permit icmp any any
access-group inside20 in interface inside20
!
access-list inside30 extended permit icmp any any
access-group inside30 in interface inside30
!
object network inside10_LAN
nat (inside10,outside) dynamic interface
!
object network inside20_LAN
nat (inside20,outside) dynamic interface
!
object network inside30_LAN
nat (inside30,outside) dynamic interface
!
access-group aoutside in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
!
dhcpd address 192.168.10.100-192.168.10.200 inside10
dhcpd enable inside10
!
dhcpd address 192.168.20.100-192.168.20.200 inside20
dhcpd enable inside20
!
dhcpd address 192.168.30.100-192.168.30.200 inside30
dhcpd enable inside30
!
policy-map icmp
class inspection_default
inspect icmp
!
policy-map global_policy

class inspection_default

inspect icmp

end
!
настройки на S1

interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
!
interface Ethernet0/1
switchport access vlan 10
switchport mode access
duplex auto
!
interface Ethernet0/2
switchport access vlan 20
switchport mode access
duplex auto
!
interface Ethernet0/3
switchport access vlan 30
switchport mode access
duplex auto
!

Спрашивай все что хочешь
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Парвин,

 

Пинг на 10.0.0.2 и не должен работать. В ASA есть защитный механизм, который запрещает запросы приходящие на один интерфейс, которые имеют адрес назначения другого интерфейса. Например, если у Вас 3 интерфейса Inside, Outside, DMZ, то запросы из DMZ на адрес интерфейса Outside будут всегда сброшены. Поэтому, теперь всё работает как и должно.

Просмотреть решение в исходном сообщении

14 ОТВЕТ 14
Sergey Lisitsin
Collaborator

Парвин,

 

Скорее всего по умолчанию в policy-map на ASA не включён протокол ICMP. Проверьте пожалуйста

show run policy-map

Если в списке протоколов отсутствует ICMP, то надо его добавить

 

conf t

policy-map global_policy

class inspection_default

inspect icmp

end

 

Спасибо что ответили он есть в список

ab9fd78ea4.png

 

Спрашивай все что хочешь

щас только  два адреса не пингуется
из АСА 50.50.50.2
из компы 50.50.50.2, 10.10.10.2

Спрашивай все что хочешь

А на компах настроен шлюз по умолчанию?

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

да оба компы настроен dhcp

5cbe57e88c.png

Спрашивай все что хочешь

Парвин, у Вас трансляция адресов происходит дважды: один раз на ASA и потом на маршрутизаторе. На маршрутизатор пакеты приходят уже с адресом outside интерфейса ASA, А он не включён в access list для NAT на маршрутизаторе. Добавьте на R1

 

conf t

ip access-list extended FOR-NAT

permit ip 10.0.0.0 0.0.0.255 any

end

 

 87880d75b2.png

Добавил 

Спрашивай все что хочешь

Теперь работает? :)

Если нет, то запустите пинг с одного из компьютеров и проверьте таблицы NAT на ASA и R1.

 

щас пинг идет на 50,50,50,2 раньше не пинговалось, осталось только один адрес 10,0,0,2, все остальной адреса пингуется
Спрашивай все что хочешь

Парвин,

 

Пинг на 10.0.0.2 и не должен работать. В ASA есть защитный механизм, который запрещает запросы приходящие на один интерфейс, которые имеют адрес назначения другого интерфейса. Например, если у Вас 3 интерфейса Inside, Outside, DMZ, то запросы из DMZ на адрес интерфейса Outside будут всегда сброшены. Поэтому, теперь всё работает как и должно.

Просмотреть решение в исходном сообщении

значить у меня все в порядке?
пока что у меня есть только 2 интерфейса, outside и inside.
Спрашивай все что хочешь

Да, если пинг проходит через ASA, значит всё в порядке :)

результат пинг и таблица маршрутизация на р1, тоже нечего не показывает, на аса нечего не показывал

 если пингуеш на адрес 10,0,0,2.cf00320140.png

если на другие адреса пингуеш то таблица маршрутизация реагирует, пример 

0cb43ab90e.png

 

 

Спрашивай все что хочешь

или мне удалить nat из один устройство ?

Спрашивай все что хочешь
Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу