O Cisco ASA não encaminha o tráfego de uma interface para outra

1

Estou precisando de ajuda no processo de configuração do Cisco ASA 5510. Configurei 4 Cisco ASA interconectados por meio de uma LAN grande. Cada Cisco ASA tem 3 ou 4 LANs anexadas a eles. A parte de roteamento IP é cuidada pelo OSPF. Meu problema está em outro nível.

Um computador conectado a uma das LANs conectadas a um ASA não tem problemas para se comunicar com o mundo exterior. O mundo exterior sendo qualquer coisa "depois" do ASA. Meu problema é que eu sou completamente incapaz de fazer com que eles se comuniquem com outra LAN conectada ao mesmo ASA. Para reformular isso, não consigo enviar tráfego de uma interface de um determinado ASA para outra interface do mesmo ASA.

Minha configuração é a seguinte:

!
hostname Fuji
!
interface Ethernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 10.0.0.2 255.255.255.0  no shutdown
!
interface Ethernet0/1
 speed 100
 duplex full
 nameif cs4  no shutdown
 security-level 100
 ip address 10.1.4.1 255.255.255.0
! 
interface Ethernet0/2  
speed 100  
duplex full  
no shutdown 
!
interface Ethernet0/2.15  vlan 15
 nameif cs5
 security-level 100
 ip address 10.1.5.1 255.255.255.0
!
interface Ethernet0/2.16  vlan 16
 nameif cs6
 security-level 100
 ip address 10.1.6.1 255.255.255.0
!
interface Management0/0
 speed 100
 duplex full
 nameif management
 security-level 100
 ip address 10.6.0.252 255.255.255.0
!
access-list nat_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list nat_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list nat_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
!
access-list nat_outside extended permit ip any any
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0
!
nat (outside) 0 access-list nat_outside
nat (cs4) 0 access-list nat_cs4
nat (cs5) 0 access-list nat_cs5
nat (cs6) 0 access-list nat_cs6
!
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
!
static (cs4,outside) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs5) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs6) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
!
static (cs5,outside) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs4) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs6) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
!
static (cs6,outside) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs4) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs5) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
!
access-group acl_outside in interface outside
access-group acl_cs4 in interface cs4
access-group acl_cs5 in interface cs5
access-group acl_cs6 in interface cs6
!
router ospf 1
 network 10.0.0.0 255.255.255.0 area 1
 network 10.1.4.0 255.255.255.0 area 1
 network 10.1.5.0 255.255.255.0 area 1
 network 10.1.6.0 255.255.255.0 area 1
 log-adj-changes
!

Não há nada realmente complicado nessa configuração. É apenas NATs de uma interface para outra e é isso. Eu tentei habilitar mesma inter-interface de permissão de tráfego de segurança , mas isso não ajuda.

Portanto, devo estar perdendo algo um pouco mais complicado. Alguém sabe por que não consigo passar tráfego de uma interface para outra?

Obrigado antecipadamente pela sua ajuda,

Antoine

    
por Antoine Benkemoun 24.03.2010 / 09:16

2 respostas

1

Eu finalmente consegui consertar isso! Eu estava fazendo muito NAT. Desativei o nat-control, permiti comunicação no mesmo nível de segurança e me livrei da maioria das coisas Nat.

Abaixo está minha configuração de trabalho.

! 
hostname Fuji 
! 
interface Ethernet0/0 
 speed 100 
 duplex full 
 nameif outside 
 security-level 0 
 ip address 10.0.0.2 255.255.255.0
 no shutdown 
! 
interface Ethernet0/1 
 speed 100 
 duplex full 
 nameif cs4
 no shutdown 
 security-level 100 
 ip address 10.1.4.1 255.255.255.0 
!
interface Ethernet0/2
 speed 100
 duplex full
 no shutdown
! 
interface Ethernet0/2.15
 vlan 15 
 nameif cs5 
 security-level 100 
 ip address 10.1.5.1 255.255.255.0 
! 
interface Ethernet0/2.16
 vlan 16 
 nameif cs6 
 security-level 100 
 ip address 10.1.6.1 255.255.255.0 
! 
interface Management0/0 
 speed 100 
 duplex full 
 nameif management 
 security-level 100 
 ip address 10.6.0.252 255.255.255.0 
!
same-security-traffic permit inter-interface 
no nat-control
! 
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any 
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any 
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any 
! 
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0 
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0 
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0 
! 
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
! 
access-group acl_outside in interface outside 
access-group acl_cs4 in interface cs4 
access-group acl_cs5 in interface cs5 
access-group acl_cs6 in interface cs6 
! 
router ospf 1 
 network 10.0.0.0 255.255.255.0 area 1 
 network 10.1.4.0 255.255.255.0 area 1 
 network 10.1.5.0 255.255.255.0 area 1 
 network 10.1.6.0 255.255.255.0 area 1 
 log-adj-changes 
! 
    
por 29.03.2010 / 23:13
1

Adicione same-security-traffic permit inter-interface na sua configuração A interface com o mesmo nível de segurança não pode se comunicar entre si sem esse comando.

    
por 25.03.2010 / 12:48