860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,117
|
|
1 | |
NAT на ASA14.05.2015, 20:32. Показов 1178. Ответов 1
Метки нет (Все метки)
Простейшая с виду задачка - настроить NAT на ASA.
Пока делано в GNS. Если это имеет значение - 1.3.2 Топология - проще некуда: слева - РС1 - 192.168.0.2/24, шлюз 192.168.0.1 в центре - ASA, е0 - 192.168.0.1/24, е1 - 10.0.0.1/24 справа - РС2 - 10.0.0.2/24, без шлюза конфиг ASA: Кликните здесь для просмотра всего текста
: Saved : ASA Version 8.4(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0 nameif IN security-level 50 ip address 192.168.0.1 255.255.255.0 ! interface GigabitEthernet1 nameif OUT security-level 0 ip address 10.0.0.1 255.255.255.0 ! interface GigabitEthernet2 shutdown no nameif no security-level no ip address ! ftp mode passive object network O-IN range 192.168.0.0 255.255.255.0 pager lines 24 mtu IN 1500 mtu OUT 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 ! object network O-IN nat (IN,OUT) dynamic interface timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! ! prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/se... DCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily crashinfo save disable Cryptochecksum:d3e2d8669e7ce817e0e0597a81004a55 : end с РС1 пингуется ближний интерфейс ASA, но не РС2 в ARP кэше ASA запись о РС1 есть, в ARP кэше РС2 - пусто результаты packet-tracer на входном интерфейсе: ciscoasa# packet-tracer input IN icmp 192.168.0.2 8 0 10.0.0.2 Кликните здесь для просмотра всего текста
Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 10.0.0.0 255.255.255.0 OUT Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: Result: ALLOW Config: object network O-IN nat (IN,OUT) dynamic interface Additional Information: Dynamic translate 192.168.0.2/0 to 10.0.0.1/54342 Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 6, packet dispatched to next module Result: input-interface: IN input-status: up input-line-status: up output-interface: OUT output-status: up output-line-status: up Action: allow т.е., NAT нормально отработал НО, на выходном интерфейсе: ciscoasa# packet-tracer input OUT icmp 192.168.0.2 8 0 10.0.0.2 detailed Кликните здесь для просмотра всего текста
Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0xbbd152e8, priority=1, domain=permit, deny=false hits=5, user_data=0x0, cs_id=0x0, l3_type=0x8 src mac=0000.0000.0000, mask=0000.0000.0000 dst mac=0000.0000.0000, mask=0100.0000.0000 input_ifc=OUT, output_ifc=any Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 10.0.0.0 255.255.255.0 OUT Phase: 3 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0xbbd162b0, priority=111, domain=permit, deny=true hits=0, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=OUT, output_ifc=OUT Result: input-interface: OUT input-status: up input-line-status: up output-interface: OUT output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule т.е. пакет дропается от какого-то acl. вывод: ciscoasa# show access-list Кликните здесь для просмотра всего текста
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 нету их, не настраивались. Вопрос - почему пакет дропается?
0
|
14.05.2015, 20:32 | |
Ответы с готовыми решениями:
1
Не работает NAT на ASA 8.2 Cisco ASA NAT Отличие NAT на ASA 8.2(2) и 8.4(2) NAT cisco ASA 5515x |
461 / 442 / 75
Регистрация: 26.12.2012
Сообщений: 2,886
|
|
14.05.2015, 21:24 | 2 |
пакет дропается потому что на Асе трафик по умолчанию запрещен на вход интерфейса у которого level наименьший (даже если вы не делали списки доступа )в вашем случае это Out это во первых во вторых еще у вас не будет пинговаться через асу если инспекция icmp не включена
1
|
14.05.2015, 21:24 | |
14.05.2015, 21:24 | |
Помогаю со студенческими работами здесь
2
ASA nat для outside интерфейса NAT и несколько ip на Cisco ASA Asa 5510 NAT с подменой исходящего адреса ASA Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |