请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 2499|回复: 9

【原创故障案例分享】asa的ipsec vpn由于nat赦免配置不当导致的问题

[复制链接]
发表于 2018-4-18 19:02:29 | 显示全部楼层 |阅读模式
先说故障现象:
可能存在的现象1,
环境:A和B使用ASA建立ipsec vpn。
问题:A站点内部的主机能通过VPN访问B站点内部的主机,但是无法访问B点ASA的inside接口IP

可能存在的现象2,
环境:C和D使用ASA建立ipsec vpn。且在D内部有多个security-level 100的区域inside1、inside2、inside3。
问题:C只能访问到其中其中一个inside1区域的主机;inside2、inside3区域不通。

原因:nat赦免没有加route-lookup
  1. nat (inside,outside) source static INISIDE-NET INISIDE-NET destination static REMOTE-NET REMOTE-NET route-lookup
复制代码

分析:
查了google发现,当数据包发送到目的地时,ASA会查找所需的出口接口,或者在我们的NAT规则中指定的“outside”接口,而不是查询路由表。
指定route-lookup命令会告诉ASA查看条目的路由表,然后相应地转发数据包。
在比较早的ASA版本是默认查询路由表的。新版需要手动指定。

有关现象2 是我之前在社区求助过。
详细可以看这个帖:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=969113

欢迎交流
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-4-19 08:59:22 | 显示全部楼层
哦哦,这个以前都说不行,终于看到解决方法了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
 楼主| 发表于 2018-4-19 18:43:12 | 显示全部楼层
13nash 发表于 2018-4-19 08:59
哦哦,这个以前都说不行,终于看到解决方法了

是啊,真是没想到这个。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
发表于 2018-4-20 16:21:26 | 显示全部楼层
谢谢分享好案例!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-5-4 15:15:30 | 显示全部楼层
楼主,问个问题,你现在这个nat 的写法,一共有4个 策略组,分别是 INISIDE-NET INISIDE-NET REMOTE-NET REMOTE-NET,这样写法的nat表示是什么意思呢。组1对应转换哪个地址,这个和twice nat 有关系吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-5-4 15:49:43 | 显示全部楼层
天下铭人 发表于 2018-5-4 15:15
楼主,问个问题,你现在这个nat 的写法,一共有4个 策略组,分别是 INISIDE-NET INISIDE-NET REMOTE-NET RE ...

这个是8.4版本之后新的nat赦免。8.4之前的nat 0的配置。
从inside到outside方向,源是INSIDE-NET, 目的是REMOTE-NET的数据包不做地址转换。

这四个不是策略组,是network对象。
object network INISIDE-NET

subnet 10.0.0.0 255.255.255.0

object network REMOTE-NET

subnet 192.168.0.0 255.255.255.0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-5-7 15:43:18 | 显示全部楼层
maguanghua2013 发表于 2018-5-4 15:49
这个是8.4版本之后新的nat赦免。8.4之前的nat 0的配置。
从inside到outside方向,源是INSIDE-NET, 目的 ...

感谢回复。还有最近遇到的问题,求指教。
:nat (inside,outside) source static Network-A Network-B destination static Network-C Network-C。我是不是可以理解为:当数据包访问目的地址是C的情况下,执行这个NAT  并且将A地址转换为B。
是不是 类似 nat (inside,outside) source static Network-A Network-A  destination static Network-C Network-C 前后两组地址 分别相同 就是赦免,前面一组不同,后面一组相同就代表执行NAT。
还是说只要是带有destination 关键字的 指的本就是nat赦免
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-5-7 17:02:14 | 显示全部楼层
天下铭人 发表于 2018-5-7 15:43
感谢回复。还有最近遇到的问题,求指教。
:nat (inside,outside) source static Network-A Network-B d ...

前一种理解是对的。
“Network-A Network-A ”代表就是映射前后地址不变;
source和destination就是数据包的源和目的地址的意思。敲命令的时候可以打问号看解释。

我验证了下,
nat (inside,outside) source static Network-A Network-B destination static Network-C Network-C
这么写没问题,数据包就是按照你理解的映射的。

另外社区有个公开课讲的是新版ASA的对nat的处理,你可以搜下看看
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-5-7 22:37:13 | 显示全部楼层
maguanghua2013 发表于 2018-5-7 17:02
前一种理解是对的。
“Network-A Network-A ”代表就是映射前后地址不变;
source和destination就是数 ...

非常感谢。。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-6-17 12:31:30 | 显示全部楼层
实用的tips,感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-21 04:10 , Processed in 0.921795 second(s), 65 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表