отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Проблемы с прохождением трафика между подсетями

Все доброго дня!

Стоит задача в переносе роли маршрутизации между вланами и разграничение доступа со стэка свитчей cisco 3750 на ASA 5520. Т.е. теперь шлюзом по умолчанию для всех подсетей станет ASA.

ASA подключена по Etherchannel к стэку свитчей cisco 3750. C Асы пингуются интерфейсы стэка и наоборот тоже, но трафик между вланами почему-то не ходит(вернее ходит, но только из одного v2 в v2032). Разрешающие ACL имеются в наличии. Обратный марштрут верен.Конфиг ниже.

Заранее благодарен.

ASA Version 8.4(7)

!
interface GigabitEthernet0/0
 description outside
 shutdown
 nameif outside
 security-level 0
 ip address 82.112.3.55 255.255.255.248
!
interface GigabitEthernet0/1
 nameif inside
 security-level 90
 ip address 192.168.0.2 255.255.255.0
!
interface GigabitEthernet0/2
 speed 1000
 duplex full
 channel-group 1 mode on
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 speed 1000
 duplex full
 channel-group 1 mode on
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 description management
 shutdown
 nameif management
 security-level 0
 no ip address
 management-only
!
interface Port-channel1
 speed 1000
 duplex full
 nameif msk-be-etherchannel-office
 security-level 90
 no ip address
!
interface Port-channel1.1
 vlan 2001
 nameif v2001
 security-level 90
 ip address 10.30.1.253 255.255.255.0
!
interface Port-channel1.2
 vlan 2002
 nameif v2002
 security-level 90
 ip address 10.30.2.253 255.255.255.0
!
interface Port-channel1.3
 vlan 2003
 nameif v2003
 security-level 90
 ip address 10.30.3.253 255.255.255.0
!
interface Port-channel1.4
 vlan 2004
 nameif v2004
 security-level 90
 ip address 10.30.4.253 255.255.255.0
!
interface Port-channel1.5
 vlan 2005
 nameif v2005
 security-level 90
 ip address 10.30.5.253 255.255.255.0
!
interface Port-channel1.6
 vlan 2006
 nameif v2006
 security-level 90
 ip address 10.30.6.253 255.255.255.0
!
interface Port-channel1.7
 vlan 2032
 nameif v2032
 security-level 90
 ip address 10.30.32.1 255.255.255.224
!
interface Port-channel1.8
 vlan 2
 nameif v2
 security-level 90
 ip address 192.168.12.253 255.255.255.0
!
boot system disk0:/asa847-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
same-security-traffic permit inter-interface
object network 1
 subnet 192.168.12.0 255.255.255.0
 description 1
object service rdp
 service tcp destination eq 3389
access-list in_v2004 remark ALLOW_TO_V2031
access-list in_v2004 extended permit ip 10.30.4.0 255.255.255.0 10.30.32.0 255.255.255.224 log debugging
access-list in_v2 remark ALLOW_IN_v2_TO_v2032
access-list in_v2 extended permit ip 192.168.12.0 255.255.255.0 10.30.32.0 255.255.255.224 log disable
access-list IN_PERMIT_TO_V2032 extended permit ip 10.30.1.0 255.255.255.0 10.30.32.0 255.255.255.224 log debugging
access-list v2032_access_in extended permit ip 10.30.32.0 255.255.255.224 10.30.1.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
logging list test level informational class config
logging asdm informational
logging facility 22
logging debug-trace
mtu outside 1500
mtu inside 1500
mtu management 1500
mtu msk-be-etherchannel-office 1500
mtu v2001 1500
mtu v2002 1500
mtu v2003 1500
mtu v2004 1500
mtu v2005 1500
mtu v2006 1500
mtu v2032 1500
mtu v2 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-721.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
access-group IN_PERMIT_TO_V2032 in interface v2001
access-group in_v2004 in interface v2004
access-group v2032_access_in in interface v2032
access-group in_v2 in interface v2
route outside 0.0.0.0 0.0.0.0 82.114.7.254 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.12.0 255.255.255.0 v2
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh 192.168.12.96 255.255.255.255 v2
ssh timeout 10
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous

Вывод sh ver
Cisco Adaptive Security Appliance Software Version 8.4(7)
Device Manager Version 7.2(1)

Compiled on Fri 30-Aug-13 19:48 by builders
System image file is "disk0:/asa847-k8.bin"
Config file at boot was "startup-config"

afina up 6 days 20 hours

Hardware:   ASA5520, 2048 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
                             Boot microcode   : CN1000-MC-BOOT-2.00
                             SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
                             IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.06
                             Number of accelerators: 1

 0: Ext: GigabitEthernet0/0  : address is 2c54.2d0c.a068, irq 9
 1: Ext: GigabitEthernet0/1  : address is 2c54.2d0c.a069, irq 9
 2: Ext: GigabitEthernet0/2  : address is 2c54.2d0c.a06a, irq 9
 3: Ext: GigabitEthernet0/3  : address is 2c54.2d0c.a06b, irq 9
 4: Ext: Management0/0       : address is 2c54.2d0c.a067, irq 11
 5: Int: Not used            : irq 11
 6: Int: Not used            : irq 5

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 150            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Теги (2)
13 ОТВЕТ.

У вас на четырех интерфейсах

У вас на четырех интерфейсах привязаны ACLи. Это значит, что security-level больше не рассматривается, и то, что в них не разрешено, будет дропаться. Например, из v2 в v2032 разрешено.

New Member

Про security-level понятно

Про security-level понятно.

Трафик из v2 в v2032 ходит. А вот из v2004 в v2032 не ходит. Думал,что проблема в Etherchannel(хотя откуда там проблема?)) ).Разобрал Etherchanne. Проблема осталась, а вот трафик из v2 в v2032 по-прежнему ходит. Из остальных vlan нет.

Полагаю,что проблема где-то в маршрутизации на стэке свитчей. Хотя у тестового клиента и сервера указаны в качестве шлюза интерфейсы ASA.

В связи с тем, что v2032

В связи с тем, что v2032 имеет нестандартную маску - скажите, с какого адреса из v2004 какой адрес пингуете, и что в это время отражается в логах файрвола.

New Member

Я из v2004 пытаюсь попасть по

Я из v2004 пытаюсь попасть по RDP на сервер в v2032. В логах SYN TIMEOUT.
 

Можете полностью скопировать

Можете полностью скопировать запись из лога?

 

Как я понимаю, с самой асы доступ есть, как и с соседей сервера по VLANу?

New Member

Доступ с асы во все вланы

Доступ с асы во все вланы есть.

Лог выложу чуть позднее.
 

New Member

Лог:4|Jul 21 2014|08:31:42

Лог:

4|Jul 21 2014|08:31:42|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 5 per second, max configured rate is 10; Current average rate is 11 per second, max configured rate is 5; Cumulative total count is 6663
4|Jul 21 2014|08:32:22|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 5 per second, max configured rate is 10; Current average rate is 11 per second, max configured rate is 5; Cumulative total count is 6796
4|Jul 21 2014|08:32:02|733100|||||[ Scanning] drop rate-2 exceeded. Current burst rate is 1 per second, max configured rate is 8; Current average rate is 11 per second, max configured rate is 4; Cumulative total count is 40083
4|Jul 21 2014|08:32:02|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 6 per second, max configured rate is 10; Current average rate is 11 per second, max configured rate is 5; Cumulative total count is 6732
4|Jul 21 2014|08:31:22|733100|||||[ Scanning] drop rate-1 exceeded. Current burst rate is 4 per second, max configured rate is 10; Current average rate is 11 per second, max configured rate is 5; Cumulative total count is 6643

6|Jul 21 2014|08:31:38|302013|10.30.1.193|49201|10.30.32.11|3389|Built inbound TCP connection 42640 for v2001:10.30.1.193/49201 (10.30.1.193/49201) to v2032:10.30.32.11/3389 (10.30.32.11/3389)
7|Jul 21 2014|08:31:38|609001|10.30.1.193||||Built local-host v2001:10.30.1.193
7|Jul 21 2014|08:32:08|609002|10.30.1.193||||Teardown local-host v2001:10.30.1.193 duration 0:00:30
6|Jul 21 2014|08:32:08|302014|10.30.1.193|49201|10.30.32.11|3389|Teardown TCP connection 42640 for v2001:10.30.1.193/49201 to v2032:10.30.32.11/3389 duration 0:00:30 bytes 0 SYN Timeout
7|Jul 21 2014|08:31:38|106100|10.30.1.193|49201|10.30.32.11|3389|access-list v2001_access_in permitted tcp v2001/10.30.1.193(49201) -> v2032/10.30.32.11(3389) hit-cnt 1 first hit [0x2a517fc1, 0x0]

 

На сервере локальных

На сервере локальных ограничений нет? Есть ли возможность поставить wireshark и посмотреть, прилетел ли ему пакет? Пинги тоже не проходят?

New Member

Ограничений нет.Пинги не

Ограничений нет.

Пинги не проходят. Снял dump трафика с сервера-до сервера пакеты не доходят. Пробовал по http и rdp подключаться.

Можете сделать capture на ASA

Можете сделать capture на ASA на v2032 с целью отловить этот пакет?

https://supportforums.cisco.com/document/69281/asa-using-packet-capture-troubleshoot-asa-firewall-configuration-and-scenarios

 

Если он поймается, то опишите полностью топологию сети от ASA до сервера и проверьте на наличие ACLей на промежуточных устройствах.

New Member

Сделал capture на v2032.

Сделал capture на v2032. Никаких пакетов,кроме арпов и dhcp запросв нет на интерфейсе. На промежуточных устройствах acl есть. но они относятся совершенно к другим сетям.

топология сети ASA

                             |

                         trunk(v2001-2006,v2,v2032)

                             |

                      cisco 3750 stack

                             |

                             v2032

                              |

                      сервер 10.30.32.11

Сделайте для проверки

Сделайте для проверки временно:

no  threat-detection basic-threat

New Member

Не помогло.Пробовал менять

Не помогло.

Пробовал менять клиентский vlan на тестовом пк. Заметил одну особенность: трафик отказывается ходить только в v2032. Пинги из всех клиентских vlan 2,2001-2006 ходят между собой, а вот в сеть v2032 нет.

 

202
Просмотры
0
Полезный материал
13
Ответы