и заранее спасибо за вашу помощь. У меня возникла проблема при переходе с ASA 5505 на ASA 5510, и версии программного обеспечения также сильно различаются, поэтому они по-разному обрабатывают VLAN.
Конфигурация 5505 (SW Version 8.0 (3)) имела внутренний и внешний интерфейс, в котором внутренний интерфейс не имел IP-адреса, но имел доступ к VLAN 1, 201-202, 204, 207. Единственная VLAN с назначенным IP-адресом. был VLAN1, остальным не назначен IP. Связь между VLAN работала на этом устройстве.
В конфигурации 5510 (SW Version 8.2 (1)) я продублировал конфигурацию 5505, насколько мог, учитывая различия в программном обеспечении. Единственное, что было непросто перевести, - это конфигурация VLAN, поскольку в этой версии устройства / программного обеспечения они обрабатываются совершенно по-другому. В итоге я использовал eth0 / 1 для создания подынтерфейсов для каждого vlan, так что часть конфигурации выглядит так:
интерфейс Ethernet 0/1 скорость 100 дуплекс полный без имени, если уровень безопасности 100 без IP-адреса! interface Ethernet0 / 1.1 vlan 1 nameif внутри уровня безопасности 100 ip-адрес 10.18.215.1 255.255.255.128! интерфейс Ethernet0 / 1.201 vlan 201 nameif VLAN201 уровень безопасности 100 нет IP-адреса! интерфейс Ethernet0 / 1.202 vlan 202 nameif VLAN202 уровень безопасности 100 нет IP-адреса! интерфейс Ethernet0 / 1.204 vlan 204 nameif VLAN204 уровень безопасности 100 нет IP-адреса! интерфейс Ethernet0 / 1.207 vlan 207 nameif VLAN207 уровень безопасности 100 без IP-адреса
Я также включил трафик между двумя или более интерфейсами, для которых настроены одинаковые уровни безопасности, и между двумя или более хостами, подключенными к одному интерфейсу.
Я также настроил все соответствующие NAT для VLAN для связи друг с другом и установил маршруты, которые точно указывают на то, где были указаны маршруты на старом 5505 asa, и убедился, что маршрут доступен с устройства. Так что теоретически, похоже, у меня все свои утки подряд.
Моя проблема заключается в том, что я не могу общаться между вланами. Я тестирую, подключив ноутбук к коммутатору (правильно настроенный со всеми VLAN и др.) И присвоив ему IP-адрес в 204 VLAN, я не могу проверить связь с IP-адресом устройства в VLAN 1. Я пытаюсь выполнить захват пакетов на ASA из VLAN 204 в VLAN 1, и он отбрасывает упакованный в неявном запрещающем ACL в VLAN 204. Я здесь в растерянности и надеялся, что кто-то может мне помочь. Я связал свою слегка отредактированную конфигурацию ASA 5510. Заранее спасибо всем за ваши старания!
Ссылка на конфигурацию: http://pastebin.com/uTLSL27n