ASA'dan L2 ga o'tish muammosi

ASA 5510 qurilmasi ASAga ulangan L2 kalitiga ulangan qurilmalar uchun odatiy shlyuz sifatida ishlaydigan tizim mavjud.

Asosiy o'rnatish:

ASA -> L2 switch -> Servers

Serverlar ASA-dagi ichki ipga o'rnatilgan, ammo ba'zi sabablarga ko'ra, serverlar kalitdan yoki xavfsizlik devoridan pinglashmaydi.

Mana, ASA konfiguratsiyasi:

 interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 1.1.1.100 255.255.255.240 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.99.1.1 255.255.255.0 
!
interface Ethernet0/1.102
 vlan 102
 nameif internal
 security-level 100
 ip address 10.1.2.2 255.255.255.0

ASA ustidagi sukut gw provayderi uplinkga chiqadi.

sukut bo'yicha sukut gw - ASA. fw ga ulangan kalitdagi port port yuki sifatida o'rnatiladi.

L2 kaliti uchun konfiguratsiya asosan bu.

vlan 1

vlan 102

int vlan 1
ip add 10.99.1.2 255.255.255.0

int g0/1
desc To-ASA-5510
switchport trunk encap dot1q
switchport mode trunk

int g0/2
switchport access vlan 102

int g0/3
switchport access vlan 102

ip default-gateway 10.99.1.1

Serverlar 2 + 3 portlariga ulangan.

Men bu yerda nima etishmayapman? Hech qachon yaratilishi kerak bo'lgan maxsus xavfsizlik devori qoidalari bormi?

Rahmat

0
Javob berish sizga yordam berdimi? Agar shunday bo'lsa, siz javobni qabul qilishingiz kerak, shunda savol doimiy javob bermaydi. Shu bilan bir qatorda, o'z javobingizni taqdim eta olasiz.
qo'shib qo'ydi muallif Ron Maupin, manba
L2 kaliti konfiguratsiyasini qo'shish uchun asl xabarimni tahrirladim.
qo'shib qo'ydi muallif c69, manba
ASA va Switch tanasi orasidagi muammoga o'xshab qolasiz, IP-manzilni interfeys Ethernet0/1 ustiga qo'yasiz va undan keyin interfeysi Ethernet0/1.102 ustida noto'g'ri ko'rinadigan sub-interfeys yarating. VLAN-ni yaratganingizda interfeysi Ethernet0/1 ga IP-manzilni kiritmagan bo'lsangiz, men ishonaman, shuningdek int g0/1 da VLAN-ga ruxsat berishingiz kerak magistral
qo'shib qo'ydi muallif jim, manba
Iltimos, L2 Kalitidan konfiguratsiyani bering. ICMP faollashtirilganmi? Siz bilan bir xil sozlamalar ustida ishlayapman, 5512X ;-)
qo'shib qo'ydi muallif Jim Bryce, manba
U mahalliy VLANni almashtirish bo'yicha G0/1 va shuningdek, ushbu portdagi switchport kirishini ixtiyoriy ravishda belgilashi kerak emasmi? Lekin ishonchim komil emas.
qo'shib qo'ydi muallif Jim Bryce, manba

1 javoblar

Bu erda ikkita masala mavjud:

  1. VLAN-dan (switch) VLAN-102ga (serverlar) ping berishga harakat qilmoqdasiz ASA bir xil interfeyslar orasidagi transportni uzatmaydi xavfsizlik darajasini aniq belgilab qo'ymasangiz.

bir xil xavfsizlik-trafik ruxsatisiz inter-interfeys

  1. ASA sukut bo'yicha ICMP blokirovka qiladi. Bunga ruxsat berishingiz kerak.
  icmp ichkariga kirishi mumkin
icmp ichki xususiyatini yoqing
 
-ni tanlang

Bundan tashqari, qanday qilib blokirovka qilinganligini va nima uchun uni ko'rish uchun ASA jurnaliga qarashingiz mumkin.

1
qo'shib qo'ydi