web-dev-qa-db-ja.com

CiscoASAが1つのインターフェイスから別のインターフェイスにトラフィックを転送しない

Cisco ASA5510の設定プロセスでサポートが必要です。大きなLANを介して相互接続された4つのCiscoASAをセットアップしました。各CiscoASAには、3つまたは4つのLANが接続されています。 IPルーティング部分はOSPFによって処理されます。私の問題は別のレベルにあります。

ASAに接続されたLANの1つに接続されたコンピュータは、外界との通信に問題はありません。外の世界はASAの「後」のものです。私の問題は、同じASAに接続されている別のLANと通信させることが完全にできないことです。言い換えると、特定のASAの1つのインターフェイスから同じASAの別のインターフェイスにトラフィックを送信できません。

私の構成は次のとおりです。

!
hostname Fuji
!
interface Ethernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 10.0.0.2 255.255.255.0  no shutdown
!
interface Ethernet0/1
 speed 100
 duplex full
 nameif cs4  no shutdown
 security-level 100
 ip address 10.1.4.1 255.255.255.0
! 
interface Ethernet0/2  
speed 100  
duplex full  
no shutdown 
!
interface Ethernet0/2.15  vlan 15
 nameif cs5
 security-level 100
 ip address 10.1.5.1 255.255.255.0
!
interface Ethernet0/2.16  vlan 16
 nameif cs6
 security-level 100
 ip address 10.1.6.1 255.255.255.0
!
interface Management0/0
 speed 100
 duplex full
 nameif management
 security-level 100
 ip address 10.6.0.252 255.255.255.0
!
access-list nat_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any
access-list nat_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any
access-list nat_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any
!
access-list nat_outside extended permit ip any any
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0
!
nat (outside) 0 access-list nat_outside
nat (cs4) 0 access-list nat_cs4
nat (cs5) 0 access-list nat_cs5
nat (cs6) 0 access-list nat_cs6
!
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
!
static (cs4,outside) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs5) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
static (cs4,cs6) 10.1.4.0 10.1.4.0 netmask 255.255.255.0
!
static (cs5,outside) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs4) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
static (cs5,cs6) 10.1.5.0 10.1.5.0 netmask 255.255.255.0
!
static (cs6,outside) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs4) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
static (cs6,cs5) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
!
access-group acl_outside in interface outside
access-group acl_cs4 in interface cs4
access-group acl_cs5 in interface cs5
access-group acl_cs6 in interface cs6
!
router ospf 1
 network 10.0.0.0 255.255.255.0 area 1
 network 10.1.4.0 255.255.255.0 area 1
 network 10.1.5.0 255.255.255.0 area 1
 network 10.1.6.0 255.255.255.0 area 1
 log-adj-changes
!

この構成では、それほど複雑なことはありません。あるインターフェースから別のインターフェースにNATするだけで、それだけです。 same-security-traffic permit inter-interfaceを有効にしてみましたが、役に立ちません。

したがって、もう少し複雑なものが欠けているに違いありません。あるインターフェースから別のインターフェースにトラフィックを転送できない理由を誰かが知っていますか?

よろしくお願いします、

アントワーヌ

2

私はついにこれを修正しました!私はNATをやりすぎていました。私はNAT制御を無効にし、同じセキュリティレベルの通信を許可し、NAT関連のもののほとんどを取り除きました。

以下は私の作業構成です。

! 
hostname Fuji 
! 
interface Ethernet0/0 
 speed 100 
 duplex full 
 nameif outside 
 security-level 0 
 ip address 10.0.0.2 255.255.255.0
 no shutdown 
! 
interface Ethernet0/1 
 speed 100 
 duplex full 
 nameif cs4
 no shutdown 
 security-level 100 
 ip address 10.1.4.1 255.255.255.0 
!
interface Ethernet0/2
 speed 100
 duplex full
 no shutdown
! 
interface Ethernet0/2.15
 vlan 15 
 nameif cs5 
 security-level 100 
 ip address 10.1.5.1 255.255.255.0 
! 
interface Ethernet0/2.16
 vlan 16 
 nameif cs6 
 security-level 100 
 ip address 10.1.6.1 255.255.255.0 
! 
interface Management0/0 
 speed 100 
 duplex full 
 nameif management 
 security-level 100 
 ip address 10.6.0.252 255.255.255.0 
!
same-security-traffic permit inter-interface 
no nat-control
! 
access-list acl_cs4 extended permit ip 10.1.4.0 255.255.255.0 any 
access-list acl_cs5 extended permit ip 10.1.5.0 255.255.255.0 any 
access-list acl_cs6 extended permit ip 10.1.6.0 255.255.255.0 any 
! 
access-list acl_outside extended permit ip any 10.1.4.0 255.255.255.0 
access-list acl_outside extended permit ip any 10.1.5.0 255.255.255.0 
access-list acl_outside extended permit ip any 10.1.6.0 255.255.255.0 
! 
static (outside,cs4) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
static (outside,cs5) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
static (outside,cs6) 0.0.0.0 0.0.0.0 netmask 0.0.0.0 
! 
access-group acl_outside in interface outside 
access-group acl_cs4 in interface cs4 
access-group acl_cs5 in interface cs5 
access-group acl_cs6 in interface cs6 
! 
router ospf 1 
 network 10.0.0.0 255.255.255.0 area 1 
 network 10.1.4.0 255.255.255.0 area 1 
 network 10.1.5.0 255.255.255.0 area 1 
 network 10.1.6.0 255.255.255.0 area 1 
 log-adj-changes 
! 
1

追加 same-security-traffic permit inter-interface構成内同じセキュリティレベルのインターフェイスは、このコマンドがないと相互に通信できません。

1
radius