отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Проблема с Nat между интерфейсами asa 5510

Добрый день. Есть два интерфейса inside и inside2. Задача заключается в том что бы хосты за данными интерфейсами обращались друк к другу как в локальной сети. Какое правило nat нужно создать чтоб решить данную задачу. В преведущих версиях ПО это решалось при помощи nat0.

sh run

ASA Version 9.1(1)

!

hostname ciscoasa

domain-name хххх.local

enable password ххххххххх encrypted

xlate per-session deny tcp any4 any4

xlate per-session deny tcp any4 any6

xlate per-session deny tcp any6 any4

xlate per-session deny tcp any6 any6

xlate per-session deny udp any4 any4 eq domain

xlate per-session deny udp any4 any6 eq domain

xlate per-session deny udp any6 any4 eq domain

xlate per-session deny udp any6 any6 eq domain

xlate per-session permit tcp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

xlate per-session permit udp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

xlate per-session permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

xlate per-session permit udp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

passwd Kr/1sUYtik.U5VEl encrypted

names

!

interface Ethernet0/0

no nameif

no security-level

no ip address

!            

interface Ethernet0/0.192

vlan 192    

nameif inside2

security-level 100

ip address 192.168.2.1 255.255.255.0

!            

interface Ethernet0/0.193

vlan 193    

nameif outside

security-level 0

ip address x.x.x.x x.x.x.x

!            

interface Ethernet0/1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!            

interface Ethernet0/2

shutdown    

no nameif   

no security-level

no ip address

!            

interface Ethernet0/3

shutdown    

no nameif   

no security-level

no ip address

!            

interface Management0/0

shutdown    

no nameif   

no security-level

no ip address

!            

boot system disk0:/asa911-k8.bin

ftp mode passive

dns server-group DefaultDNS

domain-name хххх.local

same-security-traffic permit inter-interface

object network inside

subnet 192.168.1.0 255.255.255.0

object network inside2

subnet 192.168.2.0 255.255.255.0

object network mti

host 192.168.1.7

object network vrdp16

host 192.168.1.16

object network vrdp17

host 192.168.1.17

object network vrdp18

host 192.168.1.18

object network vrdp19

host 192.168.1.19

object network crm

host 192.168.1.9

object network terminaltrade

host 192.168.1.25

object network pms

host 192.168.1.5

object-group protocol DM_INLINE_PROTOCOL_1

protocol-object ip

protocol-object udp

protocol-object tcp

object-group protocol DM_INLINE_PROTOCOL_2

protocol-object ip

protocol-object udp

protocol-object tcp

access-list outside_in extended permit ip any host 192.168.1.7

access-list outside_in extended permit ip any host 192.168.1.16

access-list outside_in extended permit ip any host 192.168.1.17

access-list outside_in extended permit ip any host 192.168.1.18

access-list outside_in extended permit ip any host 192.168.1.19

access-list outside_in extended permit ip any host 192.168.1.9

access-list outside_in extended permit ip any host 192.168.1.25

access-list outside_in extended permit ip any host 192.168.1.5

access-list inside extended permit object-group DM_INLINE_PROTOCOL_1 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0

access-list inside extended permit object-group DM_INLINE_PROTOCOL_2 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

access-list inside extended permit ip any any

pager lines 24

logging enable

logging asdm informational

mtu inside2 1500

mtu outside 1500

mtu inside 1500

no failover  

icmp unreachable rate-limit 1 burst-size 1

icmp deny any echo inside2

icmp permit any inside2

icmp deny any echo inside

icmp permit any inside

asdm image disk0:/asdm-711.bin

no asdm history enable

arp timeout 14400

no arp permit-nonconnected

!            

object network inside

nat (inside,outside) static interface

object network inside2

nat (inside2,outside) static interface

object network mti

nat (inside,outside) static x.x.x.x service tcp www www

object network vrdp16

nat (inside,any) static x.x.x.x service tcp 10016 10016

object network vrdp17

nat (inside,any) static x.x.x.x service tcp 10017 10017

object network vrdp18

nat (inside,any) static x.x.x.x service tcp 10018 10018

object network vrdp19

nat (inside,any) static x.x.x.x service tcp 10019 10019

object network crm

nat (inside,any) static x.x.x.x service tcp 3292 3292

object network terminaltrade

nat (inside,any) static x.x.x.x service tcp 3389 3389

object network pms

nat (inside,outside) static x.x.x.x service tcp 5022 5022

!            

nat (inside,inside2) after-auto source static inside inside2 destination static inside2 inside

nat (inside2,inside) after-auto source static inside2 inside destination static inside inside2

access-group inside in interface inside2

access-group outside_in in interface outside

access-group inside in interface inside

route outside 0.0.0.0 0.0.0.0 x.x.x.x 1

timeout xlate 3:00:00

timeout pat-xlate 0:00:30

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

http server enable

http 192.168.1.2 255.255.255.255 inside

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

no service password-recovery

crypto ipsec security-association pmtu-aging infinite

crypto ca trustpool policy

telnet 192.168.1.0 255.255.255.0 inside

telnet timeout 30

ssh timeout 5

console timeout 0

dhcpd dns 109.235.192.194 109.235.192.195

dhcpd lease 7200

!            

dhcpd address 192.168.2.100-192.168.2.240 inside2

dhcpd dns 192.168.1.10 192.168.1.12 interface inside2

dhcpd enable inside2

!            

dhcpd address 192.168.1.60-192.168.1.239 inside

dhcpd dns 192.168.1.12 109.235.192.195 interface inside

dhcpd enable inside

!            

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn       

anyconnect-essentials

username vadimus password xxxxxxxx encrypted

!            

class-map inspection_default

match default-inspection-traffic

!            

!            

policy-map type inspect dns preset_dns_map

parameters  

  message-length maximum client auto

  message-length maximum 512

policy-map global_policy

class inspection_default

  inspect h323 h225

  inspect h323 ras

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect skinny 

  inspect esmtp

  inspect sunrpc

  inspect sip 

  inspect xdmcp

  inspect icmp

  inspect ftp

  inspect sqlnet

  inspect tftp

  inspect dns

  inspect ip-options

!            

service-policy global_policy global

prompt hostname context

no call-home reporting anonymous

call-home    

profile CiscoTAC-1

  no active  

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

  destination address email callhome@cisco.com

  destination transport-method http

  subscribe-to-alert-group diagnostic

  subscribe-to-alert-group environment

  subscribe-to-alert-group inventory periodic monthly

  subscribe-to-alert-group configuration periodic monthly

  subscribe-to-alert-group telemetry periodic daily

sh run nat

  • Безопасность (Security)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Проблема с Nat между интерфейсами asa

Вот это уберите

inspect netbios

Если проблема останется, тогда попробуйте для локализации включить tcp state bypass на ASA для этого трафика. Если после этого все будет хорошо, значит TCP поток генерируемый данными хостами имеет искажения.

6 ОТВЕТ.

Проблема с Nat между интерфейсами asa

Например

Inside LAN 10.10.0.0/24

Inside2 LAN 10.20.0.0/24

В LAN на Inside есть хост 10.10.0.55. Нужно, чтобы хосты в LAN на Inside 2 видели его как 10.20.0.55

object network INSIDE_2_LAN

   subnet 10.20.0.0 255.255.255.0

object network HOST_IP_ON_INSIDE

   host 10.10.0.55

object network HOST_IP_ON_INSIDE_2

    host 10.20.0.55

nat (inside,inside2) sourse static HOST_IP_ON_INSIDE HOST_IP_ON_INSIDE2 destination INSIDE_2_LAN INSIDE_2_LAN

Естественно, нужно исключить, чтобы в Inside2 LAN был хост с IP 10.20.0.55

Если нужно транслировать не хост, а подсеть - то все то же самое, только вместо двух object host создаем два object subnet, но, опять же, IP, в которые осуществляется трансляция, не должны встречаться в Inside 2 LAN.

Не понимаю, как в pre 8.3 мог использоваться NAT0, если адрес из одной подсети должен транслироваться в адрес из другой, во избежание чего NAT0 и используется.

New Member

Проблема с Nat между интерфейсами asa

Спасибо большое. На данный момент сети inside и inside2 пингуются между собойпинг туда и обратно проходит в 1 ms.

Расшаренные ресурсы отвечают но с очень медленной скоростью. Какой инспект может мешать или что то нужно добавить в конфиг подскажите пожалуйста. Конфиг высше.

Проблема с Nat между интерфейсами asa

Вот это уберите

inspect netbios

Если проблема останется, тогда попробуйте для локализации включить tcp state bypass на ASA для этого трафика. Если после этого все будет хорошо, значит TCP поток генерируемый данными хостами имеет искажения.

New Member

Проблема с Nat между интерфейсами asa

спасибо помогло.

Есть вопрос можноли настроить ospf на asa в связке со свичем l3

Проблема с Nat между интерфейсами asa

ASA вполне себе поддерживает ospf (хотя и с некоторыми ограничениями), поэтому можно. Вот линк:

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/route_ospf.html

Проблема с Nat между интерфейсами asa

Можно, но динамический роутинг на ASA - это зло. Единственно оправданный случай - это когда она принимает внутренние сети, а сама отдает дефолт. Т.е OSPF работает только на одном интрефейсе. В остальных случаях - можно огрести проблем.

921
Просмотры
5
Полезный материал
6
Ответы
Не удалось отобразить этот виджет.