Problema de roteamento Cisco ASA

9

Estou trabalhando em um laboratório agora e estou tendo alguns problemas com o roteamento ASA.

Aqui está a topologia de rede atual:

Topologia de rede

Atualmente, se eu entrar no console no ASA ou no roteador, posso sair para a Internet sem problemas. No segundo que eu entrei no switch da camada 3, só posso executar ping na interface interna do ASA. Isso me leva a acreditar que tenho problemas com o roteamento de retorno do ASA.

Quero que o switch da camada 3 faça o roteamento intervlan (que é).

Isso traz algumas perguntas:

  1. Prática recomendada - devo deixar o roteador ou o ASA lidar com NAT (sobrecarga)?
  2. Posso executar ping na interface 172.16.2.2, mas não no 172.16.2.1, a partir de um PC conectado a um dos switches da camada 2 (prova que o roteamento intervlan está funcionando - eu tenho um endereço 172.20.100.8 no PC). Por que não consigo executar o ping 172.16.2.1 em um PC, mas no Switch da camada 3?
  3. Não consigo obter um endereço IP agora no servidor DHCP (Windows). Alguma idéia de por quê?
  4. E acima de tudo - Por que não consigo acessar a Internet a partir do switch da Camada 3?

Aqui estão os dumps concatenados das configurações:

Switch da camada 3:

versão 15.1
nenhum bloco de serviço
timestamps de serviço debugar datetime msec
registros de data e hora do serviço log datetime msec
nenhum serviço de criptografia de senha
serviço compress-config
serviço transceptor não suportado
!
!
!
nenhum aaa novo modelo
!
ip vrf mgmtVrf
!         
!         
!         
modo vtp transparente
!         
!         
!         
!         
!         
!         
modo de árvore de abrangência pvst
spanning tree estender a identificação do sistema
!         
política de alocação interna de vlan ascendente
!         
vlan 3,12,100 
!         
!         
!         
!         
!         
!         
!         
interface FastEthernet1
 encaminhamento de vrf ip mgmtVrf
nenhum endereço ip
 velocidade automática
 duplex automático
!         
interface GigabitEthernet1 / 1
 sem porta de comutação
 endereço IP 172.16.2.2 255.255.255.224
!         
interface GigabitEthernet1 / 2
 tronco do modo switchport
 desligar 
!         
interface GigabitEthernet1 / 3
 tronco do modo switchport
!         
interface GigabitEthernet1 / 4
 tronco do modo switchport
!         
interface GigabitEthernet1 / 5
 tronco do modo switchport
!         
interface GigabitEthernet1 / 6
 tronco do modo switchport
!         
interface GigabitEthernet1 / 7
 tronco do modo switchport
!         
interface GigabitEthernet1 / 8
 tronco do modo switchport
!         
interface GigabitEthernet1 / 9
 tronco do modo switchport
!         
interface GigabitEthernet1 / 10
 tronco do modo switchport
!         
interface GigabitEthernet1 / 11
 tronco do modo switchport
!         
interface GigabitEthernet1 / 12
 tronco do modo switchport
!         
interface GigabitEthernet1 / 13
 tronco do modo switchport
!         
interface GigabitEthernet1 / 14
 desligar 
!         
interface GigabitEthernet1 / 15
 desligar 
!         
interface GigabitEthernet1 / 16
 desligar 
!         
interface Vlan1
 nenhum endereço ip
!         
interface Vlan3
 endereço IP 172.19.3.1 255.255.255.0
 endereço auxiliar IP 172.20.100.27
!     
interface Vlan12
 endereço IP 172.19.12.1 255.255.255.240
 endereço auxiliar IP 172.20.100.27
!        
interface Vlan100
 endereço IP 172.20.100.1 255.255.255.224
 endereço auxiliar IP 172.20.100.27
!         
!         
nenhum servidor http ip
rota ip 0.0.0.0 0.0.0.0 172.16.2.1
!         
!         
!         
!     
linha con 0
 registro síncrono
 stopbits 1
linha vty 0 4
 Conecte-se    
!         
fim

COMO UM:

Versão 8.6 (1) 2 do ASA 
!
nome do host ciscoasa
nomes
!
interface GigabitEthernet0 / 0
 nameif fora
 nível de segurança 0
 endereço IP 172.16.1.10 255.255.255.0 
!
interface GigabitEthernet0 / 1
 nameif dentro
 nível de segurança 100
 endereço IP 172.16.2.1 255.255.255.224 
!
interface GigabitEthernet0 / 2
 desligar
 sem nome
 nenhum nível de segurança
 nenhum endereço ip
!
interface GigabitEthernet0 / 3
 desligar     
 sem nome    
 nenhum nível de segurança
 nenhum endereço ip
!             
interface GigabitEthernet0 / 4
 desligar     
 sem nome    
 nenhum nível de segurança
 nenhum endereço ip
!             
interface GigabitEthernet0 / 5
 desligar     
 sem nome    
 nenhum nível de segurança
 nenhum endereço ip
!             
Gerenciamento de interface0 / 0
 gerenciamento de nomes
 nível de segurança 100
 endereço IP 192.168.1.1 255.255.255.0 
 somente gerenciamento

modo ftp passivo
rede de objetos OBJ_GENERIC_ALL
 sub-rede 0.0.0.0 0.0.0.0
linhas de pager 24
registrando asdm informativo
gestão mtu 1500
mtu fora de 1500
mtu dentro de 1500
sem failover   
limite de taxa inacessível do icmp 1 tamanho de rajada 1
disco de imagem asdm0: /asdm-66114.bin
nenhum histórico de asdm habilitado
tempo limite arp 14400
interface OBJ_GENERIC_ALL dinâmica de origem nat (interna e externa)
rota fora 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 entreaberto 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip -connect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluto
timeout tcp-proxy-remontagem 0:01:00
timeout floating-conn 0:00:00
registro de política de acesso dinâmico DfltAccessPolicy
domínio padrão da identidade do usuário LOCAL
ativação do servidor http
gerenciamento http 192.168.1.0 255.255.255.0
nenhum local do servidor snmp
nenhum contato do servidor snmp
servidor snmp habilitar armadilhas autenticação snmp linkup linkdownstart coldstart warmstart
tempo limite do telnet 5
ssh timeout 5 
tempo limite do console 0
gerenciamento de endereço dhcpd 192.168.1.2-192.168.1.254
dhcpd ativar gerenciamento
!             
detecção básica de ameaças
lista de acesso de estatísticas de detecção de ameaças
sem estatísticas de detecção de ameaças tcp-intercept
webvpn        
!             
inspecção no mapa de classe
 corresponde ao tráfego de inspeção padrão
!             
!             
o tipo de mapa de políticas inspeciona o DNS preset_dns_map
parâmetros   
  cliente máximo de tamanho de mensagem automático
  comprimento máximo da mensagem 512
política-mapa global_policy
 classe inspeção_default
  inspecionar dns preset_dns_map 
  inspecionar ftp 
  inspecionar h323 h225 
  inspecionar h323 ras 
  inspecionar rsh 
  inspecionar rtsp 
  inspecionar esmtp 
  inspecionar sqlnet 
  inspecionar magro  
  inspecionar sunrpc 
  inspecionar xdmcp 
  inspecionar gole  
  inspecionar netbios 
  inspecionar tftp 
  inspecionar opções de ip 
!             
política de serviço global_policy global
contexto do prompt do nome do host 
nenhum relatório de call-home anônimo

Configuração do roteador:

versão 15.3
timestamps de serviço debugar datetime msec
registros de data e hora do serviço log datetime msec
serviço de criptografia de senha
nenhuma plataforma punt-keepalive disable-kernel-core
!
!
marcador de início de inicialização
marcador de fim de inicialização
!
!
definição de vrf Mgmt-intf
 !
 família de endereço ipv4
 família de endereço de saída
 !
 família de endereço ipv6
 família de endereço de saída
!         
!         
nenhum aaa novo modelo
!         
!         
!         
!         
!         


!         
!         
!         
!         
!         
nome do pacote multilink autenticado
!         
!         
!         
!         
!         
!         
!         
!         
!         
redundância
 modo nenhum
!         
!         
!         
interface de fonte IP tftp GigabitEthernet0
!         
!         
!         
!         
!         
!         
!         
interface GigabitEthernet0 / 0/0
 endereço IP 204.28.125.74 255.255.255.252
 ip nat fora
 negociação automática
!         
interface GigabitEthernet0 / 0/1
 nenhum endereço ip
 desligar 
 negociação automática
!         
interface GigabitEthernet0 / 0/2
 nenhum endereço ip
 desligar 
 negociação automática
!         
interface GigabitEthernet0 / 0/3
 endereço IP 172.16.1.1 255.255.255.0
 ip nat inside
 negociação automática
!         
interface GigabitEthernet0
 encaminhamento de vrf Mgmt-intf
 nenhum endereço ip
 desligar 
 negociação automática
!         
IP nat dentro da lista de fontes 1 interface GigabitEthernet0 / 0/0 sobrecarga
protocolo de encaminhamento ip nd
!         
nenhum servidor http ip
nenhum servidor seguro http http
rota ip 0.0.0.0 0.0.0.0 200.200.200.200
!         
permissão da lista de acesso 1 172.16.1.0 0.0.0.255
!         
!         
!         
plano de controle
!         
!         
linha con 0
 registro síncrono
 stopbits 1
linha aux 0
 stopbits 1
linha vty 0 4
 Conecte-se    
!         
!         
fim       
thefiddler
fonte

Respostas:

13

Prática recomendada - devo deixar o roteador ou o ASA lidar com NAT (sobrecarga)?

Nas práticas recomendadas de design mais gerais, o NAT é executado entre uma rede interna e externa . A sobrecarga de NAT geralmente é executada na borda quando há espaço de endereço IP público limitado. Você pode aprender mais sobre a sobrecarga de NAT, também conhecida como Conversão de Endereço de Porta ou PAT, no RFC 2663 (o PAT é conhecido como NAPT (Network Address Port Translation) na seção 4.1.2).

Neste cenário específico, você pode argumentar que você tem duas redes dentro e fora e vai precisar para realizar algum tipo de NAT em ambos o ASA (se é esse o NAT sobrecarga você está usando agora, isenção NAT , NAT estática , etc ) e o roteador Cisco .

Posso executar ping na 172.16.2.2interface, mas não a 172.16.2.1partir de um PC conectado a um dos switches da camada 2 (prova que o roteamento intervlan está funcionando - eu tenho um 172.20.100.8endereço no PC). Por que não consigo executar ping 172.16.2.1em um PC, mas no Switch da camada 3?

O ASA 172.16.2.2está recebendo a solicitação de eco ICMP, mas não tem uma rota de volta para 172.20.100.0/27. A resposta de eco está sendo encaminhada ao roteador 172.16.1.1pela rota padrão.

E acima de tudo - Por que não consigo acessar a Internet a partir do switch da Camada 3?

Atualmente, o seu ASA e o Cisco Router não possuem rotas para dispositivos internos diferentes das rotas conectadas.

Sua configuração ASA:

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

Isto fornecerá uma rota padrão através da interface externa, mas como o ASA saberá alcançar sub-redes que residem atrás do Switch de distribuição da camada 3 ?

Você precisará adicionar rotas às sub-redes internas por meio da interface interna usando o Switch de distribuição da camada 3 como o endereço IP do próximo salto.

Exemplo de roteamento estático ASA:

route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2

Leitura adicional: roteamento estático ASA

A configuração do seu roteador Cisco:

ip route 0.0.0.0 0.0.0.0 200.200.200.200

Além disso, como o roteador de borda saberá como acessar outras sub-redes além das rotas conectadas e capturar todas as rotas padrão por meio do endereço de próximo salto da interface externa 200.200.200.200?

Exemplo de roteamento estático do roteador:

ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10

Leitura adicional: roteamento estático ISR

Não consigo obter um endereço IP agora no servidor DHCP (Windows). Alguma idéia de por quê?

Verifique se você tem alcance IP de ponta a ponta entre o (s) cliente (s) que enviam mensagens de descoberta DHCP e o servidor DHCP.

Do que eu possa reunir a partir de sua topologia e configuração, as sub-redes 172.19.3.0/24, 172.19.12.0/28e 172.20.100.0/27não deverá ter problemas para se conectar uns aos outros (assumindo que eles são configurados para usar seus respectivos gateways padrão) a partir de uma perspectiva de rede.

Você pode remover a ip helper-addresssintaxe do SVI 100, pois o servidor DHCP está no mesmo segmento e esse comando é usado para um servidor DHCP que está em um segmento diferente.

interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27
um tempo
fonte
Isso me ajudou muito obrigado. Eu tenho uma rede semelhante, mas usando o ASA-5505, a diferença é interfaces vlan. Adicionar rotas internas e externas funcionou para mim.
0

Nós não precisamos de nenhuma rota reversa para as sub-redes internas no roteador de borda, porque estamos executando nat no firewall, portanto, todos os pacotes que saem do ASA terão apenas o endereço IP da interface externa (com porta diferente) e

essa interface externa é conectada diretamente ao roteador de borda, para que o roteador de borda não exija as rotas reversas

user37861
fonte