Cisco ASA 路由问题

网络工程 思科 转变 思科 防火墙 第3层
2021-07-27 20:29:27

我现在正在实验室工作,但在 ASA 路由方面遇到了一些问题。

这是当前的网络拓扑:

网络拓扑结构

目前,如果我登录到 ASA 或路由器上的控制台,我可以在外面上网没问题。第二次我登录到第 3 层交换机时,我只能 ping ASA 的内部接口。这让我相信我有来自 ASA 的返回路由问题。

我希望第 3 层交换机执行 intervlan 路由(它是)。

这带来了几个问题:

  1. 最佳实践 - 我应该让路由器还是 ASA 处理 NAT(过载)?
  2. 我可以从连接到第 2 层交换机之一的 PC ping 172.16.2.2 接口,但不能 ping 172.16.2.1(证明 intervlan 路由正在工作——我在 PC 上有一个 172.20.100.8 地址)。为什么我不能从PC ping 172.16.2.1,但我可以从三层交换机?
  3. 我现在无法从 DHCP 服务器(Windows)获取 IP 地址。任何洞察为什么?
  4. 最重要的是——为什么我不能从第 3 层交换机连接到互联网?

以下是配置的连接转储:

三层交换机:

版本 15.1
没有服务台
服务时间戳调试日期时间毫秒
服务时间戳记录日期时间毫秒
无服务密码加密
服务压缩配置
服务不支持收发器
没有 aaa 新模型
ip vrf 管理
vtp 模式透明
生成树模式 pvst
生成树扩展系统 ID
vlan 内部分配策略升序
VLAN 3,12,100 
接口 FastEthernet1
 ip vrf 转发 mgmtVrf
没有IP地址
 速度自动
 双工自动
接口千兆以太网1/1
 没有交换机端口
 IP 地址 172.16.2.2 255.255.255.224
接口千兆以太网1/2
 交换机端口模式中继
 关掉 
接口千兆以太网1/3
 交换机端口模式中继
接口千兆以太网1/4
 交换机端口模式中继
接口千兆以太网1/5
 交换机端口模式中继
接口千兆以太网1/6
 交换机端口模式中继
接口千兆以太网1/7
 交换机端口模式中继
接口千兆以太网1/8
 交换机端口模式中继
接口千兆以太网1/9
 交换机端口模式中继
接口千兆以太网1/10
 交换机端口模式中继
接口千兆以太网1/11
 交换机端口模式中继
接口千兆以太网1/12
 交换机端口模式中继
接口千兆以太网1/13
 交换机端口模式中继
接口千兆以太网1/14
 关掉 
接口千兆以太网1/15
 关掉 
接口千兆以太网1/16
 关掉 
接口Vlan1
 没有IP地址
接口Vlan3
 IP 地址 172.19.3.1 255.255.255.0
 ip 辅助地址 172.20.100.27
接口Vlan12
 IP 地址 172.19.12.1 255.255.255.240
 ip 辅助地址 172.20.100.27
接口Vlan100
 IP 地址 172.20.100.1 255.255.255.224
 ip 辅助地址 172.20.100.27
没有ip http服务器
ip 路由 0.0.0.0 0.0.0.0 172.16.2.1
线路连接 0
 日志同步
 停止位 1
线 vty 0 4
 登录    
结尾

作为一个:

ASA 版本 8.6(1)2 
主机名 ciscoasa
名字
接口千兆以太网0/0
 外面的名字
 安全级别 0
 IP 地址 172.16.1.10 255.255.255.0 
接口 GigabitEthernet0/1
 里面的名字
 安全级别 100
 IP 地址 172.16.2.1 255.255.255.224 
接口 GigabitEthernet0/2
 关掉
 没有名字
 没有安全级别
 没有IP地址
接口 GigabitEthernet0/3
 关掉     
 没有名字    
 没有安全级别
 没有IP地址
接口 GigabitEthernet0/4
 关掉     
 没有名字    
 没有安全级别
 没有IP地址
接口 GigabitEthernet0/5
 关掉     
 没有名字    
 没有安全级别
 没有IP地址
接口管理0/0
 命名管理
 安全级别 100
 IP 地址 192.168.1.1 255.255.255.0 
 管理专用

ftp 模式被动
对象网络 OBJ_GENERIC_ALL
 子网 0.0.0.0 0.0.0.0
寻呼机第 24 行
记录 asdm 信息
MTU 管理 1500
mtu 1500 以外
1500以内的mtu
无故障转移   
icmp 无法达到的速率限制 1 突发大小 1
asdm 镜像 disk0:/asdm-66114.bin
没有 asdm 历史启用
arp 超时 14400
nat (inside,outside) 源动态 OBJ_GENERIC_ALL 接口
0.0.0.0 0.0.0.0 172.16.1.1 1 外的路由
超时时间 3:00:00
超时连接 1:00:00 半关闭 0:10:00 udp 0:02:00 icmp 0:00:02
超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时 sip-临时媒体 0:02:00 uauth 0:05:00 绝对
超时 tcp 代理重组 0:01:00
超时浮动连接 0:00:00
动态访问策略记录 DfltAccessPolicy
用户身份默认域本地
http服务器启用
http 192.168.1.0 255.255.255.0 管理
没有 snmp-server 位置
没有 snmp 服务器联系
snmp-server enable traps snmp authentication linkup linkdown Coldstart warmstart
远程登录超时 5
ssh 超时 5 
控制台超时 0
dhcpd 地址 192.168.1.2-192.168.1.254 管理
dhcpd 启用管理
威胁检测基本威胁
威胁检测统计访问列表
没有威胁检测统计tcp-intercept
网络VPN        
类映射检查_默认
 匹配默认检查流量
策略映射类型检查 dns preset_dns_map
参数   
  消息长度最大客户端自动
  消息长度最大 512
策略映射 global_policy
 班级检查_默认
  检查 dns preset_dns_map 
  检查 ftp 
  检查 h323 h225 
  检查 h323 ras 
  检查 rsh 
  检查 rtsp 
  检查 esmtp 
  检查 sqlnet 
  检查瘦  
  检查 sunrpc 
  检查 xdmcp 
  检查 sip  
  检查 netbios 
  检查 tftp 
  检查 ip 选项 
service-policy global_policy global
提示主机名上下文 
没有回电报告匿名

路由器配置:

版本 15.3
服务时间戳调试日期时间毫秒
服务时间戳记录日期时间毫秒
服务密码加密
无平台 punt-keepalive disable-kernel-core
启动标志
引导结束标记
vrf 定义 Mgmt-intf
 地址族 ipv4
 出口地址系列
 地址族 ipv6
 出口地址系列
没有 aaa 新模型


多链路捆绑名称已验证
冗余
 模式无
ip tftp 源接口 GigabitEthernet0
接口千兆以太网0/0/0
 IP 地址 204.28.125.74 255.255.255.252
 ip nat 外面
 谈判汽车
接口千兆以太网0/0/1
 没有IP地址
 关掉 
 谈判汽车
接口千兆以太网0/0/2
 没有IP地址
 关掉 
 谈判汽车
接口千兆以太网0/0/3
 IP 地址 172.16.1.1 255.255.255.0
 ip nat 里面
 谈判汽车
接口千兆以太网0
 vrf 转发 Mgmt-intf
 没有IP地址
 关掉 
 谈判汽车
源列表中的 ip nat 1 接口 GigabitEthernet0/0/0 过载
ip 转发协议 nd
没有ip http服务器
没有 ip http 安全服务器
ip 路由 0.0.0.0 0.0.0.0 200.200.200.200
访问列表 1 许可 172.16.1.0 0.0.0.255
控制平面
线路连接 0
 日志同步
 停止位 1
线路辅助 0
 停止位 1
线 vty 0 4
 登录    
结尾
2个回答

最佳实践 - 我应该让路由器还是 ASA 处理 NAT(过载)?

在最通用的设计最佳实践中,NAT 是在内部网络和外部网络之间执行的当公共 IP 地址空间有限时,通常在边缘执行 NAT 重载。您可以在RFC 2663(PAT 在第 4.1.2 节中称为网络地址端口转换 (NAPT))中了解有关 NAT 过载(也称为端口地址转换或 PAT )的更多信息。

在这种特殊的情况,你可以争辩说,你有两个内部和外部网络,需要双方的ASA进行某种形式的NAT(无论是在NAT超载你现在正在使用,NAT豁免静态NAT等等)和在Cisco路由器

我可以 ping172.16.2.2接口,但不能172.16.2.1从连接到第 2 层交换机之一的 PC(证明 intervlan 路由正在工作——我172.20.100.8在 PC 上有一个地址)。为什么172.16.2.1我不能从 PC ping 但我可以从第 3 层交换机?

ASA172.16.2.2正在接收 ICMP 回声请求,但没有返回到 的路由172.20.100.0/27echo-r​​eply 实际上是172.16.1.1通过默认路由转发到路由器的。

最重要的是——为什么我不能从第 3 层交换机连接到 Internet?

目前,您的 ASA 和Cisco 路由器除了连接的路由之外没有到内部设备的路由。

您的 ASA 配置:

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

这将通过外部接口提供默认路由,但 ASA 如何知道如何到达位于第 3 层分布交换机后面的子网

您需要使用第 3 层分布交换机作为下一跳 IP 地址,通过内部接口向内部子网添加路由

ASA 静态路由示例:

route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2

进一步阅读:ASA 静态路由

您的 Cisco 路由器的配置:

ip route 0.0.0.0 0.0.0.0 200.200.200.200

此外,您的边界路由器如何知道如何到达连接路由以外的子网,并通过外部接口的下一跳地址捕获所有默认路由200.200.200.200

路由器静态路由示例:

ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10

进一步阅读:ISR 静态路由

我现在无法从 DHCP 服务器 (Windows) 获取 IP 地址。任何洞察为什么?

确保发送 DHCP 发现消息的客户端与 DHCP 服务器之间具有端到端的 IP 可达性。

从我可以从你的拓扑和配置,子网收集172.19.3.0/24172.19.12.0/28172.20.100.0/27应具有相互连接(假设他们被配置为使用其各自的默认网关)从网络角度来看没有问题。

您可以ip helper-address从 SVI 100 中删除语法,前提是 DHCP 服务器位于同一网段上,并且该命令用于位于不同网段的 DHCP 服务器。

interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27

我们不需要边缘路由器上的内部子网的任何反向路由,因为我们在防火墙上执行 nat,因此从 ASA 出去的每个数据包都将只有外部接口的 ip 地址(具有不同的端口)和

此外部接口直接连接到边缘路由器,因此边缘路由器不需要反向路由

其它你可能感兴趣的问题
上一篇IOS 中禁止复制文件时的确认提示 下一篇DNS 和 IP 之间的负载平衡差异 - 转发与重定向