ASAv8 和 ASAv9 之间的站点到站点 VPN:NAT 问题

网络工程 思科-ASA 虚拟专用网 ipsec
2022-02-16 21:24:54

我正在通过 ASDM 设置站点到站点。最初,我正确配置了两个设备,匹配策略、加密等,并将两个内部网络都设置为“NAT 豁免”。问题是,当我在旧设备(ASA8)上应用更改时,我收到错误,我认为这通常与 ASA 不理解命令有关:

[OK] object network NETWORK_OBJ_10.10.50.0_23
      object network NETWORK_OBJ_10.10.50.0_23
[ERROR] subnet 10.10.50.0 255.255.254.0

subnet 10.10.50.0 255.255.254.0
  ^
ERROR: % Invalid input detected at '^' marker.

[OK] object network NETWORK_OBJ_10.10.60.0_23
      object network NETWORK_OBJ_10.10.60.0_23
[ERROR] subnet 10.10.60.0 255.255.254.0

subnet 10.10.60.0 255.255.254.0
  ^
ERROR: % Invalid input detected at '^' marker.

[ERROR] nat (inside,outside) 1 source static NETWORK_OBJ_10.10.60.0_23 NETWORK_OBJ_10.10.60.0_23 destination static NETWORK_OBJ_10.10.50.0_23 NETWORK_OBJ_10.10.50.0_23

nat (inside,outside) 1 source static NETWORK_OBJ_10.10.60.0_23 NETWORK_OBJ_10.10           ^.60.0_23 destination static NETWORK_OBJ_10.10.50.0_23 NETWORK_OBJ_10.10.50.0_23

ERROR: % Invalid input detected at '^' marker.

有任何想法吗?

具体来说,当尝试在旧 ASA 的 VPN 配置文件上启用“NAT Exempt”状态时会发生这种情况。VPN 显示为 ACTIVE,我可以 ping 路由器 LAN IP,但无法访问远程 LAN(即:10.10.50.1 = SUCCESS,10.10.50.6 = FAIL)

2个回答

在 ASA v8.3 和更高版本上配置 NAT 的语法有所不同。请参阅下面的示例,或者仅使用与 ASA 上的软件匹配的旧版 ASDM。 在此处输入图像描述

在此处输入图像描述

原来这是因为以前/不完整的 S2S 已使用相同的对象设置。删除它们并使用数据报网络中的信息重新添加。下一步:升级这些严重过时的机器 =)

谢谢!

其它你可能感兴趣的问题
上一篇Spine-Leaf 网络拓扑是否专用于有线连接? 下一篇第一次来 Cisco 3750 交换机