Всем привет.
Я настроил свой aa 5520 v7. и до сих пор я столкнулся с проблемой в моем подключении, и поэтому я хочу, чтобы кто-то здесь мог помочь мне разобраться.
то, что сейчас не работает, и я бы хотел, чтобы сейчас мне помогли:
Внутренняя зона не общается с dmz и даже не пингом
Внешний или интернет-пользователь не может связаться с моим dmz-сервером с IP-адресом (172.16.16.80 eq www и 172.16.16.25 eq smtp)
4: нет интернета в зоне dmz.
Ниже приведен мой sh run, чтобы вы могли лучше понять мою конфигурацию.
так что может кто-нибудь попытаться поближе взглянуть на мою конфигурацию sh run и попытаться выяснить, почему мои внутренние пользователи не могут получить доступ к моему dmz даже с помощью pinging? И почему внешние пользователи или пользователи Интернета не могут получить доступ к моему dmz? А почему у меня на дмз нет интернета? А как разрешить успешный пинг на dmz из внутренней зоны?
ciscoasa(config)# sh run
: Saved
:
ASA Version 7.0(8)
!
hostname ciscoasa
domain-name xxxxxxxxxxx
enable password xxxxxxxxxx encrypted
passwd xxxxxxxxx encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description Link to Gateway
nameif outside
security-level 0
ip address 41.223.xx.xx 255.255.255.255
!
interface GigabitEthernet0/1
description Link to Local Lan
nameif inside
security-level 100
ip address 10.1.4.1 255.255.252.0
!
interface GigabitEthernet0/2
description Link to dmz
nameif dmz
security-level 50
ip address 172.16.16.1 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list outside_in extended permit tcp any host 41.223.xx.xx eq smtp
access-list outside_in extended permit tcp any host 41.223.xx.xx eq www
access-list dmz_int extended permit tcp host 172.16.16.25 any eq smtp
access-list dmz_int extended permit tcp host 172.16.16.80 any eq www
access-list outside_int extended permit tcp any host 41.223.xx.xx eq smtp
access-list outside_int extended permit icmp any any
access-list INSIDE extended permit ip 10.1.4.0 255.255.252.0 any
access-list OUT-TO-DMZ extended permit icmp any any log
access-list OUT-TO-DMZ extended deny ip any any
access-list inside extended permit tcp any any eq pop3
access-list inside extended permit tcp any any eq smtp
access-list inside extended permit tcp any any eq ssh
access-list inside extended permit tcp any any eq https
access-list inside extended permit udp any any eq domain
access-list inside extended permit tcp any any eq domain
access-list inside extended permit tcp any any eq www
access-list inside extended permit ip any any
access-list inside extended permit icmp any any
access-list dmz extended permit ip any any
access-list dmz extended permit icmp any any
access-list DMZ_IN extended permit icmp any any echo
access-list 101 extended permit icmp any any echo-reply
access-list cap extended permit ip 172.16.16.0 255.255.255.0 10.1.4.0 255.255.252.0
access-list cap extended permit ip 10.1.4.0 255.255.252.0 172.16.16.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 10.1.4.0 255.255.252.0
static (inside,dmz) 10.1.4.0 10.1.4.0 netmask 255.255.252.0
static (dmz,outside) 41.223.xx.xx 172.16.16.25 netmask 255.255.255.255
static (dmz,outside) 41.223.xx.xx 172.16.16.80 netmask 255.255.255.255
access-group dmz_int in interface dmz
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 41.223.xx.xx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username tchipa password JUU.kVt2Und.Vd23 encrypted privilege 15
aaa authentication ssh console LOCAL
http server enable
http 10.1.4.x 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 10.1.4.x 255.255.255.255 inside
ssh timeout 10
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
Cryptochecksum:48ba8cf4e31f2940e44293256d84ce38
: end
Я действительно оценил бы любую вашу помощь как отчаянный, и в то же время я заранее благодарю всех за ваше время и сотрудничество.
BD
static (dmz,outside) 41.223.156.106 172.16.16.25 netmask 255.255.255.255
static (dmz,outside) 41.223.156.107 172.16.16.80 netmask 255.255.255.255
Это очень и очень плохо - ты никогда Трафик NAT от интерфейса с НИЗКИМ уровнем безопасности к интерфейсу с более высоким уровнем безопасности.
Вы должны сделать это наоборот:
static (outside,dmz) 172.16.16.25 41.223.156.106 netmask 255.255.255.255
static (outside,dmz) 172.16.16.80 41.223.156.107 netmask 255.255.255.255
Кроме того, ни один из ваших ACL не применяется ни к чему, кроме dmz_int и внутренних.