Vấn đề định tuyến của Cisco ASA

Tôi đang làm việc trên một phòng thí nghiệm ngay bây giờ và đang gặp một số vấn đề với định tuyến ASA.

Đây là cấu trúc liên kết mạng hiện tại:

Hiện tại nếu tôi đăng nhập vào bảng điều khiển trên ASA hoặc Bộ định tuyến, tôi có thể truy cập internet không có vấn đề gì. Lần thứ hai tôi đăng nhập vào lớp 3, tôi chỉ có thể ping giao diện bên trong của ASA. Điều này khiến tôi tin rằng tôi có vấn đề với định tuyến trở về từ ASA.

Tôi muốn chuyển đổi lớp 3 để thực hiện định tuyến intervlan (đó là).

Điều này đưa ra một vài câu hỏi:

1. Thực hành tốt nhất khôn ngoan - tôi có nên để bộ định tuyến hoặc ASA xử lý NAT (Quá tải) không?
2. Tôi có thể ping giao diện 172.16.2.2 nhưng không phải là 172.16.2.1 từ máy tính được kết nối với một trong các thiết bị chuyển mạch lớp 2 (chứng minh định tuyến intervlan đang hoạt động - tôi có địa chỉ 172.20.100.8 trên PC). Tại sao tôi không thể ping 172.16.2.1 từ PC nhưng tôi có thể chuyển từ Lớp 3?
3. Tôi không thể nhận địa chỉ IP ngay bây giờ từ máy chủ DHCP (windows). Bất kỳ cái nhìn sâu sắc về lý do tại sao?
4. Và trên hết - Tại sao tôi không thể truy cập internet từ công tắc Lớp 3?

Dưới đây là các kết xuất của các cấu hình:

Chuyển đổi lớp 3:

phiên bản 15.1
không có dịch vụ
dịch vụ dấu thời gian gỡ lỗi datetime msec
dịch vụ dấu thời gian đăng nhập datetime msec
không mã hóa mật khẩu dịch vụ
dịch vụ nén-config
dịch vụ không được hỗ trợ-thu phát
!
!
!
không có mô hình mới
!
ip vrf mgmtVrf
!         
!         
!         
Chế độ vtp trong suốt
!         
!         
!         
!         
!         
!         
chế độ cây bao trùm pvst
spanning-tree mở rộng id hệ thống
!         
chính sách phân bổ nội bộ của vlan tăng dần
!         
vlan 3,12,100 
!         
!         
!         
!         
!         
!         
!         
giao diện FastEthernet1
 ip vrf chuyển tiếp mgmtVrf
không có địa chỉ IP
 tốc độ tự động
 tự động song công
!         
giao diện GigabitEthernet1 / 1
 không có tổng đài
 địa chỉ IP 172.16.2.2 255.255.255.224
!         
giao diện GigabitEthernet1 / 2
 chế độ chuyển mạch trung kế
 tắt 
!         
giao diện GigabitEthernet1 / 3
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 4
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 5
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 6
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 7
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 8
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 9
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 10
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 11
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 12
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 13
 chế độ chuyển mạch trung kế
!         
giao diện GigabitEthernet1 / 14
 tắt 
!         
giao diện GigabitEthernet1 / 15
 tắt 
!         
giao diện GigabitEthernet1 / 16
 tắt 
!         
giao diện Vlan1
 không có địa chỉ IP
!         
giao diện Vlan3
 địa chỉ IP 172.19.3.1 255.255.255.0
 địa chỉ người trợ giúp ip 172.20.100.27
!     
giao diện Vlan12
 địa chỉ IP 172.19.12.1 255.255.255.240
 địa chỉ người trợ giúp ip 172.20.100.27
!        
giao diện Vlan100
 địa chỉ IP 172.20.100.1 255.255.255.224
 địa chỉ người trợ giúp ip 172.20.100.27
!         
!         
không có máy chủ ip http
tuyến ip 0.0.0.0 0.0.0.0 172.16.2.1
!         
!         
!         
!     
dòng con 0
 đăng nhập đồng bộ
 điểm dừng 1
dòng vty 0 4
 đăng nhập    
!         
kết thúc

NHƯ MỘT:

Phiên bản ASA 8.6 (1) 2 
!
tên máy chủ
tên
!
giao diện GigabitEthernet0 / 0
 tên bên ngoài
 cấp độ bảo mật 0
 địa chỉ IP 172.16.1.10 255.255.255.0 
!
giao diện GigabitEthernet0 / 1
 tên bên trong
 cấp độ bảo mật 100
 địa chỉ IP 172.16.2.1 255.255.255.224 
!
giao diện GigabitEthernet0 / 2
 tắt
 không tên
 không có cấp độ bảo mật
 không có địa chỉ IP
!
giao diện GigabitEthernet0 / 3
 tắt     
 không tên    
 không có cấp độ bảo mật
 không có địa chỉ IP
!             
giao diện GigabitEthernet0 / 4
 tắt     
 không tên    
 không có cấp độ bảo mật
 không có địa chỉ IP
!             
giao diện GigabitEthernet0 / 5
 tắt     
 không tên    
 không có cấp độ bảo mật
 không có địa chỉ IP
!             
quản lý giao diện0 / 0
 quản lý tên
 cấp độ bảo mật 100
 địa chỉ IP 192.168.1.1 255.255.255.0 
 chỉ quản lý

chế độ ftp thụ động
mạng đối tượng OBJ_GENERIC_ALL
 mạng con 0.0.0.0 0.0.0.0
dòng máy nhắn tin 24
đăng nhập thông tin asdm
quản lý mtu 1500
mtu ngoài 1500
mtu trong 1500
không chuyển đổi dự phòng   
icmp không thể truy cập giới hạn tỷ lệ 1 nổ cỡ 1
hình ảnh đĩa asdm0: /asdm-66114.bin
không có lịch sử asdm cho phép
hết thời gian chờ 14400
Giao diện OBJ_GENERIC_ALL động nguồn (bên trong, bên ngoài)
tuyến đường bên ngoài 0.0.0.0 0.0.0.0 172.16.1.1 1
hết thời gian chờ 3:00:00
thời gian chờ kết nối 1:00:00 nửa kín 0h10: 00 0:00:00 icmp 0:00:02
thời gian chờ sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
hết thời gian chờ 0:30:00 sip_media 0:02:00 sip-mời 0:03:00 sip-ngắt kết nối 0:02:00
thời gian chờ sip-tạm thời-phương tiện 0:02:00 uauth 0:05:00 tuyệt đối
thời gian chờ tcp-proxy-sắp xếp lại 0:01:00
hết thời gian trôi nổi 0:00:00
hồ sơ năng động truy cập-chính sách-ghi DfltAccessPolicy
tên miền mặc định tên người dùng
cho phép máy chủ http
Quản lý http 192.168.1.0 255.255.255.0
không có vị trí máy chủ snmp
không liên lạc với máy chủ snmp
snmp-server kích hoạt bẫy snmp xác thực linkup linkdown Coldstart warmstart
thời gian chờ telnet 5
hết giờ 5 
thời gian chờ giao diện điều khiển 0
địa chỉ dhcpd 192.168.1.2-192.168.1.254 quản lý
dhcpd cho phép quản lý
!             
đe dọa phát hiện cơ bản
danh sách thống kê truy cập mối đe dọa
không có thống kê phát hiện mối đe dọa tcp-đánh chặn
webvpn        
!             
kiểm tra bản đồ lớp
 phù hợp với kiểm tra mặc định
!             
!             
loại bản đồ chính sách kiểm tra dns preset_dns_map
thông số   
  độ dài tối đa của tin nhắn tự động
  độ dài tin nhắn tối đa 512
bản đồ chính sách global_policy
 lớp kiểm tra_default
  kiểm tra dns preset_dns_map 
  kiểm tra ftp 
  kiểm tra h323 h225 
  kiểm tra h323 ras 
  kiểm tra rsh 
  kiểm tra rtsp 
  kiểm tra esmtp 
  kiểm tra sqlnet 
  kiểm tra gầy  
  kiểm tra sunrpc 
  kiểm tra xdmcp 
  kiểm tra ngụm  
  kiểm tra netbios 
  kiểm tra tftp 
  kiểm tra tùy chọn ip 
!             
chính sách dịch vụ global_policy toàn cầu
bối cảnh tên máy chủ nhanh chóng 
không có cuộc gọi nặc danh

Cấu hình bộ định tuyến:

phiên bản 15.3
dịch vụ dấu thời gian gỡ lỗi datetime msec
dịch vụ dấu thời gian đăng nhập datetime msec
dịch vụ mã hóa mật khẩu
không có nền tảng vô hiệu hóa punt-keepalive kernel-core-core
!
!
boot-start-mark
boot-end-mark
!
!
định nghĩa vrf Mgmt-intf
 !
 địa chỉ gia đình ipv4
 địa chỉ xuất cảnh
 !
 địa chỉ gia đình ipv6
 địa chỉ xuất cảnh
!         
!         
không có mô hình mới
!         
!         
!         
!         
!         


!         
!         
!         
!         
!         
tên gói đa cấp được xác thực
!         
!         
!         
!         
!         
!         
!         
!         
!         
dư
 chế độ không
!         
!         
!         
giao diện nguồn ip tftp GigabitEthernet0
!         
!         
!         
!         
!         
!         
!         
giao diện GigabitEthernet0 / 0/0
 địa chỉ IP 204.28.125.74 255.255.255.252
 ip nat bên ngoài
 tự động đàm phán
!         
giao diện GigabitEthernet0 / 0/1
 không có địa chỉ IP
 tắt 
 tự động đàm phán
!         
giao diện GigabitEthernet0 / 0/2
 không có địa chỉ IP
 tắt 
 tự động đàm phán
!         
giao diện GigabitEthernet0 / 0/3
 địa chỉ IP 172.16.1.1 255.255.255.0
 ip nat bên trong
 tự động đàm phán
!         
giao diện GigabitEthernet0
 chuyển tiếp vrf Mgmt-intf
 không có địa chỉ IP
 tắt 
 tự động đàm phán
!         
ip nat bên trong danh sách nguồn 1 giao diện GigabitEthernet0 / 0/0 quá tải
giao thức chuyển tiếp ip nd
!         
không có máy chủ ip http
không có máy chủ bảo mật ip http
tuyến ip 0.0.0.0 0.0.0.0 200.200.200.200
!         
danh sách truy cập 1 giấy phép 172.16.1.0 0.0.0.255
!         
!         
!         
máy bay điều khiển
!         
!         
dòng con 0
 đăng nhập đồng bộ
 điểm dừng 1
dòng phụ 0
 điểm dừng 1
dòng vty 0 4
 đăng nhập    
!         
!         
kết thúc       

Thực hành tốt nhất khôn ngoan - tôi có nên để bộ định tuyến hoặc ASA xử lý NAT (Quá tải) không?

Nói chung, các thực tiễn tốt nhất về thiết kế, NAT được thực hiện giữa mạng bên trong và bên ngoài . Quá tải NAT thường được thực hiện ở rìa khi có không gian địa chỉ IP công cộng bị giới hạn. Bạn có thể tìm hiểu thêm về quá tải NAT, còn được gọi là Dịch địa chỉ cổng hoặc PAT, trong RFC 2663 (PAT được gọi là Dịch cổng địa chỉ mạng (NAPT) trong phần 4.1.2).

Trong tình huống đặc biệt này, bạn có thể tranh luận rằng bạn có hai bên trong và bên ngoài mạng lưới và sẽ cần phải thực hiện một số hình thức NAT trên cả ASA (cho dù đó là NAT quá tải bạn đang sử dụng hiện nay, miễn NAT , NAT tĩnh , vv ) và các Cisco Router .

Tôi có thể ping 172.16.2.2giao diện nhưng không phải 172.16.2.1từ một máy tính được kết nối với một trong các thiết bị chuyển mạch lớp 2 (chứng tỏ định tuyến intervlan đang hoạt động - tôi có một 172.20.100.8địa chỉ trên PC). Tại sao tôi không thể ping 172.16.2.1từ PC nhưng tôi có thể chuyển từ Lớp 3?

ASA 172.16.2.2đang nhận được yêu cầu tiếng vang ICMP nhưng không có tuyến đường quay lại 172.20.100.0/27. Phản hồi tiếng vang thực sự đang được chuyển tiếp đến Bộ định tuyến 172.16.1.1thông qua tuyến đường mặc định.

Và trên hết - Tại sao tôi không thể truy cập Internet từ công tắc Lớp 3?

Hiện tại ASA và Cisco Router của bạn không có các tuyến đến các thiết bị nội bộ ngoài các tuyến được kết nối của chúng.

Cấu hình ASA của bạn:

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

Điều này sẽ cung cấp một tuyến mặc định thông qua giao diện bên ngoài, nhưng làm thế nào ASA sẽ biết cách tiếp cận các mạng con nằm sau Công tắc phân phối lớp 3 ?

Bạn sẽ cần thêm các tuyến vào các mạng con bên trong thông qua giao diện bên trong bằng cách sử dụng Công tắc phân phối lớp 3 làm địa chỉ IP kế tiếp.

Ví dụ định tuyến tĩnh ASA:

route inside 172.19.12.0 255.255.255.240 172.16.2.2
route inside 172.19.3.0 255.255.255.0 172.16.2.2
route inside 172.20.100.0 255.255.255.224 172.16.2.2

Đọc thêm: Định tuyến tĩnh ASA

Cấu hình bộ định tuyến Cisco của bạn:

ip route 0.0.0.0 0.0.0.0 200.200.200.200

Ngoài ra, làm thế nào bộ định tuyến đường viền của bạn sẽ biết cách tiếp cận các mạng con khác ngoài các tuyến được kết nối và bắt tất cả tuyến mặc định qua địa chỉ hop tiếp theo của giao diện bên ngoài 200.200.200.200?

Ví dụ định tuyến tĩnh định tuyến:

ip route 172.19.12.0 255.255.255.240 172.16.1.10
ip route 172.19.3.0 255.255.255.0 172.16.1.10
ip route 172.19.100.0 255.255.255.224 172.16.1.10
ip route 172.16.2.0 255.255.255.224 172.16.1.10

Đọc thêm: Định tuyến tĩnh ISR

Tôi không thể nhận địa chỉ IP ngay bây giờ từ máy chủ DHCP (Windows). Bất kỳ cái nhìn sâu sắc về lý do tại sao?

Đảm bảo bạn có khả năng truy cập IP đầu cuối giữa các máy khách gửi DHCP khám phá tin nhắn và máy chủ DHCP.

Từ những gì tôi có thể thu thập từ topo và cấu hình của bạn, các mạng con 172.19.3.0/24, 172.19.12.0/28và 172.20.100.0/27sẽ không có vấn đề kết nối với nhau (giả sử họ được cấu hình để sử dụng cổng mặc định tương ứng của họ) từ góc độ mạng.

Bạn có thể xóa ip helper-addresscú pháp khỏi SVI 100 do máy chủ DHCP nằm trên cùng một phân khúc và lệnh đó được sử dụng cho (các) máy chủ DHCP nằm trên một phân khúc khác.

interface Vlan100
ip address 172.20.100.1 255.255.255.224
ip helper-address 172.20.100.27

Chúng tôi không cần bất kỳ tuyến đảo ngược nào cho các mạng con bên trong bộ định tuyến biên bởi vì chúng tôi đang thực hiện tại tường lửa, vì vậy mọi gói tin đi ra khỏi ASA sẽ chỉ có địa chỉ IP của giao diện bên ngoài (với Cổng khác nhau) và

giao diện bên ngoài này được kết nối trực tiếp với bộ định tuyến biên để bộ định tuyến biên không yêu cầu các tuyến ngược lại