ASA 到 L2 交换机问题

网络工程 思科-ASA
2022-02-14 04:37:30

我有一个设置,其中 ASA 5510 充当连接到连接到 ASA 的 L2 交换机的设备的默认网关。

基本设置是:

ASA -> L2 交换机 -> 服务器

服务器将其 gw 设置为 ASA 上的子接口 ip,但由于某种原因,无法从交换机本身或防火墙 ping 服务器。

这是 ASA 的配置:

 interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 1.1.1.100 255.255.255.240 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.99.1.1 255.255.255.0 
!
interface Ethernet0/1.102
 vlan 102
 nameif internal
 security-level 100
 ip address 10.1.2.2 255.255.255.0

ASA 上的默认 gw 输出到提供商上行链路。

交换机上的默认 gw 是 ASA。连接到 fw 的交换机上的端口设置为中继。

L2 交换机的配置基本上是这样的。

vlan 1

vlan 102

int vlan 1
ip add 10.99.1.2 255.255.255.0

int g0/1
desc To-ASA-5510
switchport trunk encap dot1q
switchport mode trunk

int g0/2
switchport access vlan 102

int g0/3
switchport access vlan 102

ip default-gateway 10.99.1.1

服务器连接到端口 2+3。

我在这里想念什么?是否需要创建特定的防火墙规则?

谢谢

1个回答

这里有两个问题:

  1. 您正在尝试从 VLAN 1(交换机)ping 到 VLAN 102(服务器)。
    除非您明确允许,否则 ASA 不会在相同安全级别的接口之间转发流量。

同安全通行许可接口

  1. 默认情况下,ASA 会阻止 ICMP。你必须允许它。
icmp enable inside
icmp enable internal

您还可以查看 ASA 日志以了解它阻止了什么以及原因。

其它你可能感兴趣的问题
上一篇需要在 HP 5500 EI L3 交换机上部署 SSL 自签名证书 下一篇使用 IPv6 检查水平分割状态