ASA 5512-X 无法访问 VLAN 网关

网络工程 思科 路由 VLAN 思科 纳特
2021-07-15 23:00:47

我配置了这 3 个接口:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address PUBLICIP 255.255.255.240 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 10.0.0.1 255.255.255.0 
!
interface GigabitEthernet0/3
 no nameif
 security-level 100
 ip address 172.200.0.1 255.255.255.0 
!
interface GigabitEthernet0/3.99
 vlan 99
 nameif servers
 security-level 100
 ip address 172.16.18.1 255.255.255.0                                                                                                 
!

我也有一个默认路由

route outside 0.0.0.0 0.0.0.0 ISP_GATEWAY 1

和这些 NAT 规则

nat (inside,servers) source static any any
nat (inside,outside) source static any interface unidirectional description Internetaccess


enable traffic between two or more interfaces which are configured with same security levels


enable traffic between two or more hosts connected to the same interface

活性。

我可以通过“内部”网络上网。但是我无法 ping 网关 172.16.18.1。另外,我在接口 3 上有一个客户端,它与 IP 172.16.18.168/24 和网关 172.16.18.1 相连。此客户端也无法 ping 172.16.18.1。

在 ASDM 中,我可以从服务器接口 ping 网关。我错过了什么?在这里读到我必须为我拥有的每个 VLAN 配置一个 NAT 语句。这是真的?因为我需要 10 个 VLAN。

我无法弄清楚我错过了什么。当我在 ASDM 中执行 Packet Tracer 时,似乎没有 ACL 阻止它。

PS:两个客户端直接连接到端口。PS:PS: 我在 ASDM 上配置了 80%,在 CLI 上配置了 20%(我在学校学到的方式)。

1个回答

1.FW设置为这样工作,您只能ping您所连接的接口,因此如果您在内部子网中,您将无法ping服务器接口或外部接口,只能ping内部接口. 此外,当它是到框的流量时,它不会检查 ACL,仅对于通过该框的流量使用 ACL 检查,现在如果您可以附加“show run icmp”命令的输出,我可以确认您是否在那里有任何错误配置阻止了该接口的 ICMP 请求。

2.如果所有 vlan 都需要 Internet 访问,那么是的,您需要为每个 vlan 配置一个 NAT 语句,现在如果只从内部用户访问它,则确实不需要 NAT,因为路由应该足够。

PD:如果您在接口中设置捕获以确认 ICMP 消息到达接口,或者将设备直接插入接口以运行测试,这将很有用。

其它你可能感兴趣的问题
上一篇arp 更新未按预期工作 下一篇cisco 输出队列丢弃在 down 接口