Problème de routage Cisco ASA

9

Je travaille actuellement sur un laboratoire et j'ai des problèmes avec le routage ASA.

Voici la topologie actuelle du réseau:

Topologie du réseau

Actuellement, si je me connecte à la console sur l'ASA ou le routeur, je peux accéder à Internet sans problème. La deuxième fois que je me connecte au commutateur de couche 3, je ne peux que pinger l'interface intérieure de l'ASA. Cela m'amène à croire que j'ai des problèmes avec le routage de retour de l'ASA.

Je veux que le commutateur de couche 3 fasse le routage intervlan (ce qu'il est).

Cela soulève quelques questions:

  1. Meilleure pratique sage - dois-je laisser le routeur ou l'ASA gérer le NAT (surcharge)?
  2. Je peux cingler l'interface 172.16.2.2 mais pas 172.16.2.1 à partir d'un PC connecté à l'un des commutateurs de couche 2 (prouve que le routage intervlan fonctionne - j'ai une adresse 172.20.100.8 sur le PC). Pourquoi ne puis-je pas envoyer une requête ping 172.16.2.1 depuis un PC mais je peux le faire depuis le commutateur de couche 3?
  3. Je ne peux pas obtenir d'adresse IP pour le moment depuis le serveur DHCP (Windows). Une idée de pourquoi?
  4. Et surtout - Pourquoi ne puis-je pas accéder à Internet à partir du commutateur de couche 3?

Voici les décharges concaténées des configurations:

Commutateur de couche 3:

version 15.1
pas de service pad
horodatages du service déboguer datetime msec
service horodatages journal datetime msec
aucun service de cryptage par mot de passe
service compress-config
émetteur-récepteur non pris en charge
!
!
!
pas de nouveau modèle aaa
!
ip vrf mgmtVrf
!         
!         
!         
mode vtp transparent
!         
!         
!         
!         
!         
!         
mode spanning-tree pvst
spanning-tree étendre id-système
!         
politique d'allocation interne vlan ascendante
!         
vlan 3,12,100 
!         
!         
!         
!         
!         
!         
!         
interface FastEthernet1
 ip vrf forwarding mgmtVrf
pas d'adresse IP
 vitesse auto
 duplex auto
!         
interface GigabitEthernet1 / 1
 pas de switchport
 adresse IP 172.16.2.2 255.255.255.224
!         
interface GigabitEthernet1 / 2
 tronc en mode switchport
 fermer 
!         
interface GigabitEthernet1 / 3
 tronc en mode switchport
!         
interface GigabitEthernet1 / 4
 tronc en mode switchport
!         
interface GigabitEthernet1 / 5
 tronc en mode switchport
!         
interface GigabitEthernet1 / 6
 tronc en mode switchport
!         
interface GigabitEthernet1 / 7
 tronc en mode switchport
!         
interface GigabitEthernet1 / 8
 tronc en mode switchport
!         
interface GigabitEthernet1 / 9
 tronc en mode switchport
!         
interface GigabitEthernet1 / 10
 tronc en mode switchport
!         
interface GigabitEthernet1 / 11
 tronc en mode switchport
!         
interface GigabitEthernet1 / 12
 tronc en mode switchport
!         
interface GigabitEthernet1 / 13
 tronc en mode switchport
!         
interface GigabitEthernet1 / 14
 fermer 
!         
interface GigabitEthernet 1/15
 fermer 
!         
interface GigabitEthernet 1/16
 fermer 
!         
interface Vlan1
 pas d'adresse IP
!         
interface Vlan3
 adresse IP 172.19.3.1 255.255.255.0
 ip helper-address 172.20.100.27
!     
interface Vlan12
 adresse IP 172.19.12.1 255.255.255.240
 ip helper-address 172.20.100.27
!        
interface Vlan100
 adresse IP 172.20.100.1 255.255.255.224
 ip helper-address 172.20.100.27
!         
!         
pas de serveur ip http
ip route 0.0.0.0 0.0.0.0 172.16.2.1
!         
!         
!         
!     
ligne con 0
 journalisation synchrone
 stopbits 1
ligne vty 0 4
 s'identifier    
!         
fin

COMME UN:

Version 8.6 (1) ASA 2 
!
nom d'hôte ciscoasa
noms
!
interface GigabitEthernet0 / 0
 nom à l'extérieur
 niveau de sécurité 0
 adresse IP 172.16.1.10 255.255.255.0 
!
interface GigabitEthernet0 / 1
 nom à l'intérieur
 niveau de sécurité 100
 adresse IP 172.16.2.1 255.255.255.224 
!
interface GigabitEthernet0 / 2
 fermer
 pas de nom
 pas de niveau de sécurité
 pas d'adresse IP
!
interface GigabitEthernet0 / 3
 fermer     
 pas de nom    
 pas de niveau de sécurité
 pas d'adresse IP
!             
interface GigabitEthernet0 / 4
 fermer     
 pas de nom    
 pas de niveau de sécurité
 pas d'adresse IP
!             
interface GigabitEthernet0 / 5
 fermer     
 pas de nom    
 pas de niveau de sécurité
 pas d'adresse IP
!             
gestion de l'interface0 / 0
 gestion de nom
 niveau de sécurité 100
 adresse IP 192.168.1.1 255.255.255.0 
 gestion uniquement

mode ftp passif
réseau d'objets OBJ_GENERIC_ALL
 sous-réseau 0.0.0.0 0.0.0.0
lignes de téléavertisseur 24
journalisation asdm informative
mtu management 1500
mtu en dehors de 1500
mtu inside 1500
pas de basculement   
icmp inaccessible rate-limit 1 burst-size 1
asdm image disk0: /asdm-66114.bin
aucun historique asdm activé
délai d'arp 14400
nat (intérieur, extérieur) interface dynamique OBJ_GENERIC_ALL source
itinéraire à l'extérieur 0.0.0.0 0.0.0.0 172.16.1.1 1
délai d'attente xlate 3:00:00
timeout conn 1:00:00 semi-fermé 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-déconnect 0:02:00
timeout sip-provisoire-média 0:02:00 uauth 0:05:00 absolu
délai d'attente tcp-proxy-réassemblage 0:01:00
timeout flottant-conn 0:00:00
enregistrement de politique d'accès dynamique DfltAccessPolicy
domaine par défaut de l'identité de l'utilisateur LOCAL
activation du serveur http
http 192.168.1.0 255.255.255.0 gestion
pas d'emplacement du serveur snmp
pas de contact avec le serveur snmp
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
délai d'attente telnet 5
délai d'attente ssh 5 
délai d'expiration de la console 0
gestion des adresses dhcpd 192.168.1.2-192.168.1.254
dhcpd enable management
!             
détection de menace menace de base
liste d'accès aux statistiques de détection des menaces
pas de statistiques de détection des menaces tcp-intercept
webvpn        
!             
class-map inspection_default
 faire correspondre le trafic d'inspection par défaut
!             
!             
type de politique-carte inspecter dns preset_dns_map
paramètres   
  longueur maximale du message auto client
  longueur du message maximum 512
policy-map global_policy
 classe inspection_default
  inspecter dns preset_dns_map 
  inspecter ftp 
  inspecter h323 h225 
  inspecter h323 ras 
  inspecter rsh 
  inspecter rtsp 
  inspecter esmtp 
  inspecter sqlnet 
  inspecter maigre  
  inspecter sunrpc 
  inspecter xdmcp 
  inspecter une gorgée  
  inspecter les netbios 
  inspecter tftp 
  inspecter les options ip 
!             
service-policy global_policy global
contexte du nom d'hôte d'invite 
pas de rapport d'appel à domicile anonyme

Configuration du routeur:

version 15.3
horodatages du service déboguer datetime msec
service horodatages journal datetime msec
service de cryptage par mot de passe
pas de plate-forme punt-keepalive disable-kernel-core
!
!
marqueur de démarrage
marqueur de fin de démarrage
!
!
définition vrf Mgmt-intf
 !
 adresse-famille ipv4
 exit-address-family
 !
 adresse-famille ipv6
 exit-address-family
!         
!         
pas de nouveau modèle aaa
!         
!         
!         
!         
!         


!         
!         
!         
!         
!         
nom de bundle multiliaison authentifié
!         
!         
!         
!         
!         
!         
!         
!         
!         
redondance
 mode aucun
!         
!         
!         
interface source ip tftp GigabitEthernet0
!         
!         
!         
!         
!         
!         
!         
interface GigabitEthernet0 / 0/0
 adresse IP 204.28.125.74 255.255.255.252
 ip nat extérieur
 négociation automatique
!         
interface GigabitEthernet0 / 0/1
 pas d'adresse IP
 fermer 
 négociation automatique
!         
interface GigabitEthernet0 / 0/2
 pas d'adresse IP
 fermer 
 négociation automatique
!         
interface GigabitEthernet0 / 0/3
 adresse IP 172.16.1.1 255.255.255.0
 ip nat inside
 négociation automatique
!         
interface GigabitEthernet0
 transfert vrf Mgmt-intf
 pas d'adresse IP
 fermer 
 négociation automatique
!         
IP nat à l'intérieur de la liste des sources 1 interface GigabitEthernet0 / 0/0 surcharge
ip forward-protocol nd
!         
pas de serveur ip http
pas de serveur sécurisé IP http
ip route 0.0.0.0 0.0.0.0 200.200.200.200
!         
autorisation d'accès-liste 1 172.16.1.0 0.0.0.255
!         
!         
!         
avion de contrôle
!         
!         
ligne con 0
 journalisation synchrone
 stopbits 1
ligne aux 0
 stopbits 1
ligne vty 0 4
 s'identifier    
!         
!         
fin       
le violoneux
la source

Réponses:

13

Meilleure pratique sage - dois-je laisser le routeur ou l'ASA gérer le NAT (surcharge)?

Dans la plus générale des meilleures pratiques de conception, le NAT est effectué entre un réseau intérieur et extérieur . La surcharge NAT est généralement effectuée en périphérie lorsque l'espace d'adressage IP public est limité. Vous pouvez en savoir plus sur la surcharge NAT, également connue sous le nom de traduction d'adresse de port ou PAT, dans RFC 2663 (PAT est appelé traduction d'adresse de port réseau (NAPT) dans la section 4.1.2).

Dans ce scénario particulier, vous pouvez affirmer que vous avez deux réseaux à l'intérieur et à l'extérieur et que vous devrez effectuer une certaine forme de NAT sur l'ASA (que ce soit la surcharge NAT que vous utilisez maintenant, l' exemption NAT , le NAT statique , etc. ) et le routeur Cisco .

Je peux envoyer une requête ping à l' 172.16.2.2interface mais pas à 172.16.2.1partir d'un PC connecté à l'un des commutateurs de couche 2 (prouve que le routage intervlan fonctionne - j'ai une 172.20.100.8adresse sur le PC). Pourquoi ne puis-je pas faire de ping 172.16.2.1depuis un PC mais je peux depuis le commutateur de couche 3?

L'ASA 172.16.2.2reçoit la demande d'écho ICMP mais n'a pas de route de retour vers 172.20.100.0/27. La réponse d'écho est en fait transmise au routeur 172.16.1.1via la route par défaut.

Et surtout - Pourquoi ne puis-je pas accéder à Internet à partir du commutateur de couche 3?

Actuellement, votre ASA et votre routeur Cisco n'ont pas de routes vers des périphériques internes autres que leurs routes connectées.

Votre configuration ASA:

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

Cela fournira une route par défaut via l'interface extérieure, mais comment l'ASA saura-t-elle comment atteindre les sous-réseaux résidant derrière le commutateur de distribution de couche 3 ?

Vous devrez ajouter des routes aux sous-réseaux internes via l'interface interne en utilisant le commutateur de distribution de couche 3 comme adresse IP du saut suivant.

Exemple de routage statique ASA:

route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2

Pour en savoir plus: routage statique ASA

La configuration de votre routeur Cisco:

ip route 0.0.0.0 0.0.0.0 200.200.200.200

De plus, comment votre routeur frontalier saura-t-il comment atteindre des sous-réseaux autres que ses itinéraires connectés et intercepter tout l'itinéraire par défaut via l'adresse de saut suivant de l'interface extérieure 200.200.200.200?

Exemple de routage statique du routeur:

ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10

Pour en savoir plus: routage statique ISR

Je ne peux pas obtenir une adresse IP pour le moment depuis le serveur DHCP (Windows). Une idée de pourquoi?

Assurez-vous d'avoir une accessibilité IP de bout en bout entre le ou les clients qui envoient des messages de découverte DHCP et le serveur DHCP.

D'après ce que je peux rassembler à partir de votre topologie et configuration, les sous-réseaux 172.19.3.0/24, 172.19.12.0/28et 172.20.100.0/27ne devraient avoir aucun problème de connexion les uns aux autres (en supposant qu'ils sont configurés pour utiliser leurs passerelles par défaut respectives) du point de vue du réseau.

Vous pouvez supprimer la ip helper-addresssyntaxe du SVI 100 étant donné que le serveur DHCP se trouve sur le même segment et que la commande est utilisée pour un ou plusieurs serveurs DHCP se trouvant sur un segment différent.

interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27
une fois
la source
Cela m'a aidé merci. J'ai un réseau similaire, mais en utilisant ASA-5505, la différence réside dans les interfaces vlan. L'ajout d'itinéraires intérieurs et extérieurs a fonctionné pour moi.
0

NOUS n'avons pas besoin de routes inverses pour les sous-réseaux internes sur le routeur de périphérie car nous faisons nat au pare-feu, donc chaque paquet qui sort de l'ASA aura l'adresse IP de l'interface extérieure uniquement (avec un port différent) et

cette interface extérieure est directement connectée au routeur de périphérie de sorte que le routeur de périphérie ne nécessite pas les routes inverses

user37861
la source