普通可网管路由器R:ETH2口上配置4个IP地址,作为相应4个段(192.168.24.0/25,192.168.24.128/26,192.168.24.192/27,172.16.103.0/26)的网关,这4个段为全局地址,无地址冲突。ETH1口接到其他网络。
二层交换机SW:默认vlan,未新建其他vlan。
防火墙FW1和FW2:ASA5505,版本8.2(5),路由模式,起双向NAT,outside口接SW,inside口地址10.10.10.1/24,作为防火墙后面设备的网关。
网络中的服务器简单分为3类:(1)接在FW1后面,经过NAT的服务器S1;(2)接在FW2后面,经过NAT的服务器S2;(3)直接与SW相连,未NAT的服务器S。每类服务器均有多台。
无论服务器使用哪个段的IP地址,S1,S和S2均能与网络外部互访,S1与S2能互访,S与S2能互访,S1能访问S。
故障1:当S的地址和S1的NAT地址均在192.168.24.0/25段时,S无法访问S1;不同时在192.168.24.0/25段时,S能正常访问S1。(即FW1后面的192.168.24.0/25有问题,FW2没问题。)
想排除下版本问题,把FW1升级到思科推荐的9.1(7)后,出现了新的故障2:所有过NAT的全局地址,在R上均无MAC地址与之对应,导致相应地址不通。正常情况下,R上ARP表项应该是经过NAT的全局地址对应于FW1的outside口MAC地址。重新配置NAT规则也没用。在R上手动添加ARP项后立马通了。怀疑是FW1的ARP有问题,但是找不着方向,只能降回版本8.2(5),故障1依然存在。
其他FW没有任何问题。很没有头绪,求大神指点,谢谢!
PS:全局地址不冲突,路由没问题,FW的规则没问题,FW的NAT规则也没有问题。网络拓扑图如上图示。