求教个ASA问题？？？

szmabcd · 发表于 2013-5-9 00:03:20

本帖最后由 szmabcd 于 2013-5-9 00:04 编辑

如下图所示，InsidePC上1.1.1.1/24 ping通Outside上的2.2.2.2/24，各配置如下：

InsidePC#show running-config

hostname InsidePC

ip cef

interface Loopback0
ip address 1.1.1.1 255.255.255.0
no shut
interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0
no shut

ip route 0.0.0.0 0.0.0.0 10.10.10.254

ciscoasa# show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif insdie
security-level 0
ip address 10.10.10.254 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 200.1.1.2 255.255.255.252

interface Ethernet0/2
nameif dmz
security-level 50
ip address 10.20.20.254 255.255.255.0

access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any unreachable
access-list 100 extended permit icmp any any time-exceeded
access-list 110 extended permit ip 1.1.1.0 255.255.255.0 any

nat-control
global (outside) 1 interface
global (dmz) 1200.10.10.249-200.10.10.254
nat (insdie) 1 0.0.0.0 0.0.0.0
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 200.1.1.1

R2# show run
R2# show running-config
Building configuration...

Current configuration : 978 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

hostname R2

no aaa new-model
memory-size iomem 5
ip cef

interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.252
no shut

interface FastEthernet0/1
ip address 200.20.20.254 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 200.1.1.2
ip route 2.2.2.0 255.255.255.0 200.20.20.1
ip route 200.10.10.248 255.255.255.248 200.1.1.2

OutsidePC#show run
Building configuration...

Current configuration : 853 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname OutsidePC
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef

no ip domain lookup
ip domain name lab.local
!
multilink bundle-name authenticated

interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 200.20.20.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto

!
ip route 0.0.0.0 0.0.0.0 200.20.20.254
!

问题如下：

1.1.1.1.1要ping通2.2.2.2的话应该如何来做？缺少哪些命令？

2.1.1.1.1如何访问WEB服务器？？？

3.如何让外部主机访问WEB服务器？是用静态映射还是地址转换？？？

未命名.JPG

ASA DHCP.net (4.09 KB, 下载次数: 0)

xuexue705 · 发表于 2013-5-9 01:30:25

1：R2可以看做ISP，要有一条ip route 2.2.2.0 255.255.255.0 200.20.20.1
   ASA有一条到1.1.1.0段的路由，route inside 1.1.1.0 255.255.255.0 10.10.10.1
   就可以PING通2.2.2.2
2：ASA有一条到1.1.1.0段的路由，route inside 1.1.1.0 255.255.255.0 10.10.10.1
   当然DMZ区内到WEB也要有路由，可访问
3：用静态映射比如：
static (dmz,outside) tcp interface web WEBIP web netmask 255.255.255.255

szmabcd · 发表于 2013-5-9 08:54:49

本帖最后由 szmabcd 于 2013-5-9 09:01 编辑

xuexue705 发表于 2013-5-9 01:30
1：R2可以看做ISP，要有一条ip route 2.2.2.0 255.255.255.0 200.20.20.1
ASA有一条到1.1.1.0段的路由 ...

你好！谢谢你的回答。

按你所说我做了下实验：在InsidePC上ping 2.2.2.2 source 1.1.1.1时还是不通，Outside能收到ping包并能回应，在R2上debug时，没有收到任何ping包，请帮忙解答下，谢谢！
各路由如下：
InsidePC :             ip route 0.0.0.0 0.0.0.0 10.10.10.254

ASA :             route inside 1.1.1.0 255.255.255.0 10.10.10.1 1
                  route outside 2.2.2.0 255.255.255.0 200.1.1.1 1

R2:                   ip route 0.0.0.0 0.0.0.0 200.1.1.2
                     ip route 2.2.2.0 255.255.255.0 200.20.20.1
                     ip route 200.10.10.248 255.255.255.248 200.1.1.2

OutsidePC :       ip route 0.0.0.0 0.0.0.0 200.20.20.254

我做了如下测试：在ASA上添加路由   route outside 0.0.0.0 0.0.0.0 200.1.1.1,在InsidePC上能telnet 到200.20.20.1上，但是就是ping不通

kongxin850124 · 发表于 2013-5-9 09:03:56

inside的接口security-level建议改成100

szmabcd · 发表于 2013-5-9 11:12:47

kongxin850124 发表于 2013-5-9 09:03
inside的接口security-level建议改成100

谢谢你的建议，默认值是100的

xuexue705 · 发表于 2013-5-9 11:36:02

R2不需要默认路由（把它看成ISP就行了）
ASA也不需要route outside 2.2.2.0 255.255.255.0 200.1.1.1 1
有一条route outside 0 0 200.1.1.1 1就行了
ASA本身就做NAT。所有inside地址都会NAT出去。
这个实验我做了下，绝对是可行的。

szmabcd · 发表于 2013-5-9 12:42:59

本帖最后由 szmabcd 于 2013-5-9 12:51 编辑

xuexue705 发表于 2013-5-9 11:36
R2不需要默认路由（把它看成ISP就行了）
ASA也不需要route outside 2.2.2.0 255.255.255.0 200.1.1.1 1
有 ...

我在R2上建个环回口
R2:

lo0:3.3.3.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 200.1.1.2

InsidePC:

ip route 0.0.0.0 0.0.0.0 10.10.10.254
ASA上建两条路由：

route outside 3.3.3.0 255.255.255.0 200.1.1.1
route inside 1.1.1.0 255.255.255.0 10.10.10.1

这样我在InsidePC上都无法Ping通3.3.3.3 ，是不是我模拟器问题啊

谢谢！

1096308852 · 发表于 2013-5-13 10:22:36

庄歪 · 发表于 2013-5-13 10:19:58

账号		自动登录	找回密码
密码			论坛注册

求教个ASA问题？？？

浏览过的版块

客服中心

投诉建议