无法 ping Cisco ASA 5508 上的子接口

网络工程 思科 思科 防火墙
2021-07-19 08:38:43

我无法 ping ASA 5508-x 上的内部子接口。

以这种方式设置时,我可以 ping 接口:

interface GigabitEthernet1/3
 nameif inside
 security-level 100
 ip address X.X.Y.Y

以这种方式设置时,我无法 ping 接口:

interface GigabitEthernet1/3
 nameif inside
 security-level 100
 no ip address

interface GigabitEthernet1/3.10
 nameif inside1
 security-level 100
 ip address X.X.Y.253

具体来说,我得到“目标主机无法访问”。这是路由问题吗?

编辑:这是连接到 ASA 的交换机上的端口配置。 

interface GigabitEthernet0/1
 no switchport
 ip address X.X.Y.254

我尝试将其配置为可以访问 Vlan10 的交换机端口。如有必要,打开以尝试再次配置它。

编辑:发现您无法从 ASA 上的一个接口从另一个接口 ping 通。子接口被视为单独的接口,因此这解释了为什么我将内部接口配置为子接口后无法 ping 的原因。

2个回答

经过一番研究,我发现 ASA 不允许从一个接口 ping 到另一个接口。所以这解释了为什么我能够在物理端口上设置内部接口时 ping 内部接口,但在将其设置为 VLAN 时却不能。

编辑:我会详细说明。如果我的内部界面:

interface GigabitEthernet0/2
 nameif inside
 security-level 100
 ip address 1.1.1.2 255.255.255.0

(即 GigabitEthernet0/2)未设置为 VLAN 并且具有(示例)1.1.1.2 的 IP,只要我从内部采购(当然,在子网上),我就可以直接 ping 这个接口.

但是,如果我将子接口设置为内部:

interface GigabitEthernet0/2
 no nameif
 no security-level
 no ip address
interface GigabitEthernet0/2.10
 vlan 10
 nameif inside
 security-level 100
 ip address 1.1.1.2 255.255.255.0

我将无法再 ping 这个地址,因为它被视为跨接口 ping。

我发现了这一点,并与思科代表确认了这一点。

对一开始的含糊回答表示歉意。

首次设置时,ASA5508 G1/3 是路由/L3 接口,您可以将其连接到 L3 端口(正如您所做的那样)或 L2 接入交换机端口(访问 VLAN,假设您有其 L3 VLAN 接口在您的网络)。

在第二个设置中,您将 ASA5508 G1/3 配置为子接口(封装 dot1q),您必须将另一端 L3 端口也配置为子接口(封装 dot1q)或 L2 中继端口(中继 a VLAN,假设您的网络中有其 L3 VLAN 接口)。

假设您的网络中有 VLAN 10 及其 L3 接口(与 ASA5508 G1/3 接口在同一 IP 范围内),以下配置应该适合您。稍后,您可以在防火墙和交换机之间中继更多 VLAN。

### On ASA5508 ###

interface GigabitEthernet1/3
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/3.10
 vlan 10
 nameif inside
 security-level 100
 ip address X.X.Y.253
!

### On your switch ###
!
interface GigabitEthernet0/x
 switchport mode trunk
 switchport trunk allow vlan 10
!

将端口配置为子接口时,不应在其主接口上留下任何配置。

如果您还想将交换机上的接口配置为子接口(封装 dot1q),这将没有任何意义,因为它会为您提供与第一次设置相同的结果。

其它你可能感兴趣的问题
上一篇Cisco 控制台电缆和 HP ProCurve 交换机 下一篇为路由器执行 HSRP