取消
显示结果 
搜索替代 
您的意思是: 
cancel
4873
查看次数
22
有帮助
2
回复

ASA5505 NAT与ARP问题

horsejun088
Level 1
Level 1
173110hiak50vv0nz2k2hn.jpg
普通可网管路由器R:ETH2口上配置4个IP地址,作为相应4个段(192.168.24.0/25,192.168.24.128/26,192.168.24.192/27,172.16.103.0/26)的网关,这4个段为全局地址,无地址冲突。ETH1口接到其他网络。
二层交换机SW:默认vlan,未新建其他vlan。
防火墙FW1和FW2:ASA5505,版本8.2(5),路由模式,起双向NAT,outside口接SW,inside口地址10.10.10.1/24,作为防火墙后面设备的网关。
网络中的服务器简单分为3类:(1)接在FW1后面,经过NAT的服务器S1;(2)接在FW2后面,经过NAT的服务器S2;(3)直接与SW相连,未NAT的服务器S。每类服务器均有多台。
无论服务器使用哪个段的IP地址,S1,S和S2均能与网络外部互访,S1与S2能互访,S与S2能互访,S1能访问S。
故障1:当S的地址和S1的NAT地址均在192.168.24.0/25段时,S无法访问S1;不同时在192.168.24.0/25段时,S能正常访问S1。(即FW1后面的192.168.24.0/25有问题,FW2没问题。)
想排除下版本问题,把FW1升级到思科推荐的9.1(7)后,出现了新的故障2:所有过NAT的全局地址,在R上均无MAC地址与之对应,导致相应地址不通。正常情况下,R上ARP表项应该是经过NAT的全局地址对应于FW1的outside口MAC地址。重新配置NAT规则也没用。在R上手动添加ARP项后立马通了。怀疑是FW1的ARP有问题,但是找不着方向,只能降回版本8.2(5),故障1依然存在。
其他FW没有任何问题。很没有头绪,求大神指点,谢谢!
PS:全局地址不冲突,路由没问题,FW的规则没问题,FW的NAT规则也没有问题。网络拓扑图如上图示。
2 条回复2

Mansur
Spotlight
Spotlight
故障1 的话,你在asa上用packet tracer试下,看看是不是数据包被FW阻断了。如果没问题的话,只能抓包分析了。
故障2 可以考虑其他9.x版本试试

horsejun088
Level 1
Level 1
maguanghua2013 发表于 2018-7-10 19:21
故障1 的话,你在asa上用packet tracer试下,看看是不是数据包被FW阻断了。如果没问题的话,只能抓包分析了 ...

Packet Tracer一切正常。
其他版本的没试过, 但是9.1(7)在其他FW上一点问题也没有。
故障1和故障2均只在FW1上出现,其他所有的FW均一切正常,我也是郁闷了。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接