ASA5510一个奇怪的问题

最新推荐文章于 2024-05-01 13:13:18 发布
最新推荐文章于 2024-05-01 13:13:18 发布
阅读量402 收藏
点赞数
文章标签: 网络 运维
原文链接:https://yq.aliyun.com/articles/405317
版权

拿手上的设备做了一个简单的实验,具体拓扑如下 
adsl router-----asa5510------cat2960

其中asa5510的e0口设为outside,与adsl router的Lan口互联,e1口与2960互联,同时2960的上联口设置为trunk口,在2960上划分了vlan 2、3, 2960的管理vlan为vlan1,ip地址为192.168.1.2,网关为192.168.1.1,在asa5510上划分了子接口,分别对应vlan2和vlan3,配置如下: 
------------------ASA 5510 Configuration Begin------------------------ 
: Saved 

ASA Version 7.2(4) 

hostname ciscoasa 
domain-name default.domain.invalid 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
names 
dns-guard 

interface Ethernet0/0 
nameif outside 
security-level 0 
ip address 192.168.0.2 255.255.255.0 

interface Ethernet0/1 
nameif vlan1 
security-level 100 
ip address 192.168.1.1 255.255.255.0 

interface Ethernet0/1.1 
vlan 2 
nameif vlan2 
security-level 100 
ip address 192.168.4.1 255.255.255.0 

interface Ethernet0/1.2 
vlan 3 
nameif vlan3 
security-level 100 
ip address 192.168.5.1 255.255.255.0 

interface Ethernet0/2 
shutdown 
no nameif 
no security-level 
no ip address 

interface Ethernet0/3 
shutdown 
no nameif 
no security-level 
no ip address 

interface Management0/0 
shutdown 
no nameif 
no security-level 
no ip address 
management-only 

boot system disk0:/asa724-k8.bin 
ftp mode passive 
dns server-group DefaultDNS 
domain-name default.domain.invalid 
same-security-traffic permit inter-interface 
pager lines 24 
mtu outside 1500 
mtu vlan1 1500 
mtu vlan2 1500 
mtu vlan3 1500 
icmp unreachable rate-limit 1 burst-size 1 
asdm image disk0:/asdm-524.bin 
no asdm history enable 
arp timeout 14400 
global (outside) 1 192.168.0.10-192.168.0.20 
nat (vlan3) 1 192.168.5.0 255.255.255.0 
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1 
timeout xlate 3:00:00 
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
http server enable 
http 0.0.0.0 0.0.0.0 vlan3 
no snmp-server location 
no snmp-server contact 
snmp-server enable traps snmp authentication linkup linkdown coldstart 
telnet timeout 5 
ssh timeout 5 
console timeout 0 

class-map inspection_default 
match default-inspection-traffic 


policy-map global_policy 
class inspection_default 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 

service-policy global_policy global 
prompt hostname context 
Cryptochecksum:a4d2bbbc0c0ce4cdaad801d3b8b294a4 
: end

------------------ASA 5510 Configuration End-----------------------

现在是这样的情况,我在配置中删除nat (vlan3) 1 192.168.5.0 255.255.255.0时,我用接在vlan3下的pc机192.168.5.2是可以ping通2960的管理地址192.168.1.2的,或者是vlan2中的主机192.168.4.2,但如果加上这句,就再也不能ping通这两个地址了,用packet tracer的结果如下: 
-----------------------------------有上面这句话时的结果------------------------------------ 
ciscoasa(config)# packet-tracer input vlan3 icmp 192.168.5.2 8 0 192.168.1.2 detailed 
Phase: 1 
Type: FLOW-LOOKUP 
Subtype: 
Result: ALLOW 
Config: 
Additional Information: 
Found no matching flow, creating a new flow 
Phase: 2 
Type: ROUTE-LOOKUP 
Subtype: input 
Result: ALLOW 
Config: 
Additional Information: 
in   192.168.1.0     255.255.255.0   vlan1 
Phase: 3 
Type: ACCESS-LIST 
Subtype: 
Result: ALLOW 
Config: 
Implicit Rule 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e0ed10, priority=2, domain=permit, deny=false 
        hits=720, user_data=0x0, cs_id=0x0, flags=0x3000, protocol=0 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 4 
Type: IP-OPTIONS 
Subtype: 
Result: ALLOW 
Config: 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e11348, priority=0, domain=permit-ip-option, deny=true 
        hits=6828, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 5 
Type: INSPECT 
Subtype: np-inspect 
Result: ALLOW 
Config: 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e106c0, priority=66, domain=inspect-icmp-error, deny=false 
        hits=752, user_data=0x3e105f0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 6 
Type: NAT 
Subtype: 
Result: DROP 
Config: 
nat (vlan3) 1 192.168.5.0 255.255.255.0 
  match ip vlan3 192.168.5.0 255.255.255.0 vlan1 any 
    dynamic translation to pool 1 (No matching global) 
    translate_hits = 9, untranslate_hits = 0 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x41ddd90, priority=1, domain=nat, deny=false 
        hits=7, user_data=0x41ddd20, cs_id=0x0, flags=0x0, protocol=0 
        src ip=192.168.5.0, mask=255.255.255.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Result: 
input-interface: vlan3 
input-status: up 
input-line-status: up 
output-interface: vlan1 
output-status: up 
output-line-status: up 
Action: drop 
Drop-reason: (acl-drop) Flow is denied by configured rule 
ciscoasa(config)#

-----------------------------------没有上面这句话时的结果------------------------------------ 
ciscoasa(config)# packet-tracer input vlan3 icmp 192.168.5.2 8 0 192.168.4.2 detailed 
Phase: 1 
Type: FLOW-LOOKUP 
Subtype: 
Result: ALLOW 
Config: 
Additional Information: 
Found no matching flow, creating a new flow 
Phase: 2 
Type: ROUTE-LOOKUP 
Subtype: input 
Result: ALLOW 
Config: 
Additional Information: 
in   192.168.4.0     255.255.255.0   vlan2 
Phase: 3 
Type: ACCESS-LIST 
Subtype: 
Result: ALLOW 
Config: 
Implicit Rule 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e0ed10, priority=2, domain=permit, deny=false 
        hits=742, user_data=0x0, cs_id=0x0, flags=0x3000, protocol=0 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 4 
Type: IP-OPTIONS 
Subtype: 
Result: ALLOW 
Config: 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e11348, priority=0, domain=permit-ip-option, deny=true 
        hits=6874, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 5 
Type: INSPECT 
Subtype: np-inspect 
Result: ALLOW 
Config: 
Additional Information: 
Forward Flow based lookup yields rule: 
in  id=0x3e106c0, priority=66, domain=inspect-icmp-error, deny=false 
        hits=774, user_data=0x3e105f0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 
        src ip=0.0.0.0, mask=0.0.0.0, port=0 
        dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 
Phase: 6 
Type: FLOW-CREATION 
Subtype: 
Result: ALLOW 
Config: 
Additional Information: 
New flow created with id 7446, packet dispatched to next module 
Module information for forward flow ... 
snp_fp_inspect_ip_options 
snp_fp_adjacency 
snp_fp_fragment 
snp_fp_tracer_drop 
snp_ifc_stat 
Module information for reverse flow ... 
Phase: 7 
Type: ROUTE-LOOKUP 
Subtype: output and adjacency 
Result: ALLOW 
Config: 
Additional Information: 
found next-hop 192.168.4.2 using egress ifc vlan2 
adjacency Active 
next-hop mac address 0016.d4c4.bd0b hits 195 
Result: 
input-interface: vlan3 
input-status: up 
input-line-status: up 
output-interface: vlan2 
output-status: up 
output-line-status: up 
Action: allow 
ciscoasa(config)#

不知各位大大能够解释一下原因及解决方法,谢谢!



本文转自 gehailong 51CTO博客,原文链接:http://blog.51cto.com/gehailong/301143,如需转载请自行联系原作者

helloxielan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISCO-ASA5510-防火墙配置手册
10-10
CISCO-ASA5510-防火墙配置手册 CISCO-ASA5510-防火墙配置手册
cisco ASA 5510防火墙 ADSL拨号上网配置
weixin_34174422的博客
04-24 967
cisco ASA 5510防火墙 ADSL拨号上网配置ip nbar pdlm flash:bittorrent.pdlm ! ! vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! crypto isakmp policy 1 authentication pre-share crypto is...
cisco asa5510配置
weixin_34153893的博客
11-07 589
配置主机名: ciscoasa# ciscoasa#config t进入全局模式 ciscoasa(config)#hostname cisco5510命名 配置外部接口: cisco5510(config)# inter e0/0进入E0/0接口 cisco5510(config-if)#nameif outside cisco5510...
ASA5510 Password recovery
繁星流动天际
03-16 698
2012-04-09 07:55 ASA5510恢复密码在网上找到这段 Step 1  Connect to the security appliance console port according to the Step 2  Power off the security appliance, and then power it on. Step 3  During the startup m...
asa5510配置手册
04-21
asa5510 配置手册
Cisco asa5510 917-k8
02-03
CISCO asa5510的最新的IOS版本是917和asdm 752.153 ,需要的拿走吧!
ASA5510-asa916-8-k8
10-11
ASA5510防火墙916-8版本的IOS系统,适合需要更新IOS的人用
CISCO ASA5510 配置详解
08-01
CISCO ASA5510 配置详解 适合初学者
沪深websocket level2/level1行情推送接入示例
04-28 543
【代码】沪深websocket level2/level1行情推送接入示例。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 342
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 333
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 276
createWs("测试数据", (res) => {
UDP!!!
不懂编程的菜鸟
04-30 1160
假如全世界都是用同一个操作系统,升级的成本相对来说会小一点.但市面上存在各种各样的操作系统,如果某个操作系统升级了,其他系统没有升级,意味着这个升级的系统和其他系统。比如:电信号表示 0 , 1 ,低电平表示 0, 高电平表示1 ,此时传输的过程中,遇到一一个变化的磁场,此时就可能把本来的低电平变成高电平/高电平变成低电平。(3)不可逆 : 通过原数据,计算 md5 ,成本很低,但通过 md5 ,还原成原来的数据,成本很高,仅仅理论上可行)但升级报头,不是技术上的难题,更多的上政治上的难题.
用 Python 进行渗透测试
黑战士的博客
04-28 974
编写一个端口扫描器Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
网络安全实训Day16
Yisitelz的博客
04-26 1205
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
【嵌入式笔试题】网络编程笔试题
m0_74055118的博客
04-30 1266
网络编程笔试题
题目 1452: 网络寻路
最新发布
weixin_64443786的博客
05-01 175
蓝桥杯
cisco ASA5510防火墙配置
05-30
对于 Cisco ASA5510 防火墙的配置,一般可以通过以下步骤来实现: 1. 连接至ASA5510:使用串口或者Telnet方式连接至ASA5510。 2. 配置基本网络参数:配置ASA5510的IP地址、子网掩码、默认网关等基本网络参数。 3....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值