请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 168|回复: 2

ASA5505 NAT与ARP问题

[复制链接]
发表于 2018-7-10 17:34:11 | 显示全部楼层 |阅读模式
0可用金钱

普通可网管路由器R:ETH2口上配置4个IP地址,作为相应4个段(192.168.24.0/25,192.168.24.128/26,192.168.24.192/27,172.16.103.0/26)的网关,这4个段为全局地址,无地址冲突。ETH1口接到其他网络。
二层交换机SW:默认vlan,未新建其他vlan。
防火墙FW1和FW2:ASA5505,版本8.2(5),路由模式,起双向NAT,outside口接SW,inside口地址10.10.10.1/24,作为防火墙后面设备的网关。
网络中的服务器简单分为3类:(1)接在FW1后面,经过NAT的服务器S1;(2)接在FW2后面,经过NAT的服务器S2;(3)直接与SW相连,未NAT的服务器S。每类服务器均有多台。
无论服务器使用哪个段的IP地址,S1,S和S2均能与网络外部互访,S1与S2能互访,S与S2能互访,S1能访问S。
故障1:当S的地址和S1的NAT地址均在192.168.24.0/25段时,S无法访问S1;不同时在192.168.24.0/25段时,S能正常访问S1。(即FW1后面的192.168.24.0/25有问题,FW2没问题。)

想排除下版本问题,把FW1升级到思科推荐的9.1(7)后,出现了新的故障2:所有过NAT的全局地址,在R上均无MAC地址与之对应,导致相应地址不通。正常情况下,R上ARP表项应该是经过NAT的全局地址对应于FW1的outside口MAC地址。重新配置NAT规则也没用。在R上手动添加ARP项后立马通了。怀疑是FW1的ARP有问题,但是找不着方向,只能降回版本8.2(5),故障1依然存在。

其他FW没有任何问题。很没有头绪,求大神指点,谢谢!
PS:全局地址不冲突,路由没问题,FW的规则没问题,FW的NAT规则也没有问题。网络拓扑图如上图示。

附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-7-10 19:21:05 | 显示全部楼层
故障1 的话,你在asa上用packet tracer试下,看看是不是数据包被FW阻断了。如果没问题的话,只能抓包分析了。

故障2 可以考虑其他9.x版本试试
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-7-11 08:53:26 | 显示全部楼层
maguanghua2013 发表于 2018-7-10 19:21
故障1 的话,你在asa上用packet tracer试下,看看是不是数据包被FW阻断了。如果没问题的话,只能抓包分析了 ...

Packet Tracer一切正常。

其他版本的没试过, 但是9.1(7)在其他FW上一点问题也没有。

故障1和故障2均只在FW1上出现,其他所有的FW均一切正常,我也是郁闷了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-21 12:14 , Processed in 0.086830 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表