Мне нужна помощь в процессе настройки моего Cisco ASA 5510. Я установил 4 Cisco ASA, соединенных между собой через большую локальную сеть. К каждому Cisco ASA подключено 3 или 4 LAN. Об IP-маршрутизации заботится OSPF. Моя проблема на другом уровне.
Компьютер, подключенный к одной из локальных сетей, подключенных к ASA, не имеет проблем с взаимодействием с внешним миром. Внешний мир является чем-то «после» ASA. Моя проблема в том, что я совершенно не могу заставить их общаться с другой LAN, подключенной к тому же ASA. Перефразируя это, я не могу отправлять трафик с одного интерфейса данного ASA на другой интерфейс того же ASA.
Моя конфигурация следующая:
!
hostname Fuji
!
interface Ethernet0/0
speed 100
duplex full
nameif outside
security-level 0
ip address 10.0.0.2 255.255.255.0 no shutdown
!
interface Ethernet0/1
speed 100
duplex full
nameif cs4 no shutdown
security-level 100
ip address 10.1.4.1 255.255.255.0
!
interface Ethernet0/2
speed 100
duplex full
no shutdown
!
interface Ethernet0/2.15 vlan 15
nameif cs5
security-level 100
ip address 10.1.5.1 255.255.255.0
!
interface Ethernet0/2.16 vlan 16
nameif cs6
security-level 100
ip address 10.1.6.1 255.255.255.0
!
interface Management0/0
speed 100
duplex full
nameif management
security-level 100
ip address 10.6.0.252 255.255.255.0
!
access-list nat_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list nat_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list nat_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
!
access-list nat_outside extended permit ip any any
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0
!
nat (outside) 0 access-list nat_outside
nat (cs4) 0 access-list nat_cs4
nat (cs5) 0 access-list nat_cs5
nat (cs6) 0 access-list nat_cs6
!
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
!
static (cs4,outside) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs5) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs6) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
!
static (cs5,outside) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs4) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs6) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
!
static (cs6,outside) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs4) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs5) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
!
access-group acl_outside in interface outside
access-group acl_cs4 in interface cs4
access-group acl_cs5 in interface cs5
access-group acl_cs6 in interface cs6
!
router ospf 1
network 10.0.0.0 255.255.255.0 area 1
network 10.1.4.0 255.255.255.0 area 1
network 10.1.5.0 255.255.255.0 area 1
network 10.1.6.0 255.255.255.0 area 1
log-adj-changes
!
В этой конфигурации нет ничего сложного. Это просто NAT с одного интерфейса на другой и все. Я пробовал включить межинтерфейс разрешения одинакового трафика но это не помогает.
Поэтому мне, должно быть, не хватает чего-то более сложного. Кто-нибудь знает, почему я не могу перенаправить трафик с одного интерфейса на другой?
Заранее спасибо за вашу помощь,
Антуан
Я наконец исправил это! Я делал слишком много NAT. Я деактивировал nat-control, разрешил обмен данными на том же уровне безопасности и избавился от большинства вещей Nat.
Ниже мой рабочий конфиг.
!
hostname Fuji
!
interface Ethernet0/0
speed 100
duplex full
nameif outside
security-level 0
ip address 10.0.0.2 255.255.255.0
no shutdown
!
interface Ethernet0/1
speed 100
duplex full
nameif cs4
no shutdown
security-level 100
ip address 10.1.4.1 255.255.255.0
!
interface Ethernet0/2
speed 100
duplex full
no shutdown
!
interface Ethernet0/2.15
vlan 15
nameif cs5
security-level 100
ip address 10.1.5.1 255.255.255.0
!
interface Ethernet0/2.16
vlan 16
nameif cs6
security-level 100
ip address 10.1.6.1 255.255.255.0
!
interface Management0/0
speed 100
duplex full
nameif management
security-level 100
ip address 10.6.0.252 255.255.255.0
!
same-security-traffic permit inter-interface
no nat-control
!
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
!
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0
!
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
!
access-group acl_outside in interface outside
access-group acl_cs4 in interface cs4
access-group acl_cs5 in interface cs5
access-group acl_cs6 in interface cs6
!
router ospf 1
network 10.0.0.0 255.255.255.0 area 1
network 10.1.4.0 255.255.255.0 area 1
network 10.1.5.0 255.255.255.0 area 1
network 10.1.6.0 255.255.255.0 area 1
log-adj-changes
!
Добавить same-security-traffic permit inter-interface в вашей конфигурации Интерфейсы с одинаковым уровнем безопасности не могут общаться друг с другом без этой команды.