forum.opennet.ru - "Cisco ASA 5512-x. Трафик между подсетями не ходит" (17)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"Cisco ASA 5512-x. Трафик между подсетями не ходит"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
Сообщение от mercus (ok) on 25-Сен-17, 03:30
Добрый день, уважаемые пользователи! Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24 (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик. Ниже конфиг, который настраиваю (лишнее убрано). В итоге пинги между этими подсетями не ходят. При том, что в packet tracer'е показывает, что imcp пакет проходит из одной сети в другую (и обратно) без проблем. Помогите, пожалуйста. interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/2 no nameif no security-level no ip address ! interface GigabitEthernet0/2.313 vlan 313 nameif DMZ security-level 50 ip address 10.3.30.1 255.255.255.0 ! interface GigabitEthernet0/3 no nameif no security-level no ip address ! interface GigabitEthernet0/3.350 vlan 350 nameif Test security-level 100 ip address 192.168.5.1 255.255.255.0 ! interface GigabitEthernet0/3.351 vlan 351 nameif Test351 security-level 100 ip address 192.168.6.1 255.255.255.0 ! boot system disk0:/asa961-10-smp-k8.bin boot system disk0:/asa912-smp-k8.bin ftp mode passive dns server-group DefaultDNS domain-name test.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network Test350 subnet 192.168.5.0 255.255.255.0 object network Test351 subnet 192.168.6.0 255.255.255.0 access-list Test_access_in extended permit ip any any access-list Test351_access_in extended permit ip any any access-list no_nat_test extended permit ip 192.168.5.0 255.255.255.0 192.168.6.0 255.255.255.0 pager lines 24 mtu Test 1500 mtu Test351 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any Test icmp permit any Test351 asdm image disk0:/asdm-762.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected ! access-group Test_access_in in interface Test access-group Test351_access_in in interface Test351 no snmp-server location no snmp-server contact crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect esmtp inspect icmp ! service-policy global_policy global prompt hostname context
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA 5512-x. Трафик между подсетями не ходит, pavlinux, 05:19 , 25-Сен-17, (1)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 06:24 , 25-Сен-17, (3)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 06:08 , 25-Сен-17, (2)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 06:29 , 25-Сен-17, (4)
Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 06:30 , 25-Сен-17, (5)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 06:32 , 25-Сен-17, (6)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 07:45 , 25-Сен-17, (7)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 08:18 , 25-Сен-17, (8)

Cisco ASA 5512-x. Трафик между подсетями не ходит, CCNA RS and S, 08:34 , 25-Сен-17, (9)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 09:28 , 25-Сен-17, (10)

Cisco ASA 5512-x. Трафик между подсетями не ходит, CCNA RS and S, 10:51 , 25-Сен-17, (11)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 00:59 , 26-Сен-17, (12)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 06:16 , 26-Сен-17, (13)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 06:52 , 26-Сен-17, (14)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 07:35 , 26-Сен-17, (15)

Cisco ASA 5512-x. Трафик между подсетями не ходит, mercus, 07:59 , 26-Сен-17, (16)

Cisco ASA 5512-x. Трафик между подсетями не ходит, zanswer CCNA RS and S, 08:21 , 26-Сен-17, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от pavlinux (ok) on 25-Сен-17, 05:19

> Добрый день, уважаемые пользователи!
> Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24
> (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик.
Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока не заработает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 25-Сен-17, 06:24

>> Добрый день, уважаемые пользователи!
>> Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24
>> (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик.
> Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока
> не заработает.
В ASDM уже что только не тыкал, не работает. Да и привычней всё-таки через CLI работать

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:08

>[оверквотинг удален]
>   inspect xdmcp
>   inspect sip
>   inspect netbios
>   inspect tftp
>   inspect ip-options
>   inspect esmtp
>   inspect icmp
> !
> service-policy global_policy global
> prompt hostname context
Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён трафик между такими интерфейсами, не нужны, если вы потом не планируете конечно там что-то фильтровать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:29

>[оверквотинг удален]
>>   inspect ip-options
>>   inspect esmtp
>>   inspect icmp
>> !
>> service-policy global_policy global
>> prompt hostname context
> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
> трафик между такими интерфейсами, не нужны, если вы потом не планируете
> конечно там что-то фильтровать.
Тьфу ты, про shutdown снимаю вопрос, с маршрутизацией на клиентах всё в порядке? В целом судя по конфигу у вас, всё должно быть нормально.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 25-Сен-17, 06:30

>[оверквотинг удален]
>>   inspect ip-options
>>   inspect esmtp
>>   inspect icmp
>> !
>> service-policy global_policy global
>> prompt hostname context
> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
> трафик между такими интерфейсами, не нужны, если вы потом не планируете
> конечно там что-то фильтровать.
Да, конфигурация с реального оборудования. А что не так?
Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между ними. Но пинг между ними не ходил, поэтому прописал ACL, как вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил уже и так всё что только можно, всё равно не ходят пинги.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:32

>[оверквотинг удален]
>> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
>> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
>> трафик между такими интерфейсами, не нужны, если вы потом не планируете
>> конечно там что-то фильтровать.
> Да, конфигурация с реального оборудования. А что не так?
> Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между
> ними. Но пинг между ними не ходил, поэтому прописал ACL, как
> вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил
> уже и так всё что только можно, всё равно не ходят
> пинги.
Утро, смотрю на бегу, всё так у вас. Сейчас немного освобожусь, залью ваш конфиг в стенд и посмотрим более предметно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 25-Сен-17, 07:45

>[оверквотинг удален]
>   inspect xdmcp
>   inspect sip
>   inspect netbios
>   inspect tftp
>   inspect ip-options
>   inspect esmtp
>   inspect icmp
> !
> service-policy global_policy global
> prompt hostname context
Собрал ваш стенд, взял ваш конфигурационный файл, убрал ACL, same-security-traffic permit intra-interface, результат:
"VPCS> ping 192.168.6.2
84 bytes from 192.168.6.2 icmp_seq=1 ttl=64 time=39.918 ms
84 bytes from 192.168.6.2 icmp_seq=2 ttl=64 time=4.243 ms
84 bytes from 192.168.6.2 icmp_seq=3 ttl=64 time=3.777 ms
84 bytes from 192.168.6.2 icmp_seq=4 ttl=64 time=3.828 ms
84 bytes from 192.168.6.2 icmp_seq=5 ttl=64 time=10.001 ms
VPCS> trace 192.168.6.2 -P 1
trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop
1   192.168.6.2   3.743 ms  2.439 ms  2.470 ms"
Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим несколько вопросов:
1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей ASA?
3) Вы выполняете NAT над участвующими в данном кейсе префиксами?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 25-Сен-17, 08:18

>[оверквотинг удален]
> VPCS> trace 192.168.6.2 -P 1
> trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop
>  1   192.168.6.2   3.743 ms  2.439 ms
>  2.470 ms"
> Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим
> несколько вопросов:
> 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
> 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей
> ASA?
> 3) Вы выполняете NAT над участвующими в данном кейсе префиксами?
1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface на ASA. При этом адрес шлюза с клиента пингуется.
2. IPS нет, вся фильтрация с помощью access-list.
3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри, а не наружу.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от CCNA RS and S on 25-Сен-17, 08:34

>[оверквотинг удален]
>> 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
>> 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей
>> ASA?
>> 3) Вы выполняете NAT над участвующими в данном кейсе префиксами?
> 1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий
> vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface
> на ASA. При этом адрес шлюза с клиента пингуется.
> 2. IPS нет, вся фильтрация с помощью access-list.
> 3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри,
> а не наружу.
1) Про это и спрашивал, есть ли в RIB клиента маршрут до нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0 192.168.5.1 и 192.168.6.1 у второго клиента.
2) А NAT какой-то вообще существует на ASA сейчас?
Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит о том, что либо не правильно настроена маршрутизация на клиентских компьютерах, либо наши с вами конфигурационные файлы расходятся, а значит вы представили не весь конфигурационный файл.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 25-Сен-17, 09:28

>[оверквотинг удален]
>> а не наружу.
> 1) Про это и спрашивал, есть ли в RIB клиента маршрут до
> нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально
> у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0
> 192.168.5.1 и 192.168.6.1 у второго клиента.
> 2) А NAT какой-то вообще существует на ASA сейчас?
> Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит
> о том, что либо не правильно настроена маршрутизация на клиентских компьютерах,
> либо наши с вами конфигурационные файлы расходятся, а значит вы представили
> не весь конфигурационный файл.
1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице маршрутизации, но пинги так и не пошли. Ещё интересно то, что из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно. В сеть 192.168.5.0 не ходят, а обратно идут.
2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside.
Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё относится к другим интерфейсам.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от CCNA RS and S on 25-Сен-17, 10:51

>[оверквотинг удален]
>> либо наши с вами конфигурационные файлы расходятся, а значит вы представили
>> не весь конфигурационный файл.
> 1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице
> маршрутизации, но пинги так и не пошли. Ещё интересно то, что
> из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно.
> В сеть 192.168.5.0 не ходят, а обратно идут.
> 2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside.
> Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в
> остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё
> относится к другим интерфейсам.
Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного файла едва ли у вас содержит что-то секретное. Но, я не настаиваю, давайте попробуем разобраться без полного конфигурационного файла.
Выполните в таком случае следующую команду:
packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP request)
packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP reply)
Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне увидеть это в виде трассировки.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 26-Сен-17, 00:59

>[оверквотинг удален]
> Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного
> файла едва ли у вас содержит что-то секретное. Но, я не
> настаиваю, давайте попробуем разобраться без полного конфигурационного файла.
> Выполните в таком случае следующую команду:
> packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2
> (ваш DST IP клиента) detailed (ICMP request)
> packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2
> (ваш DST IP клиента) detailed (ICMP reply)
> Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне
> увидеть это в виде трассировки.
Как я говорил, packet tracer пакет пропускает:
ASA# packet-tracer input Test icmp 192.168.5.10 8 0 192.168.6.10 det$
Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.6.10 using egress ifc  Test351
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group Test_access_in in interface Test
access-list Test_access_in extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false
        hits=3, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692544, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true
        hits=418, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false
        hits=10, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false
        hits=73, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692546, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any
Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x2aaac3b7ba60, priority=0, domain=inspect-ip-options, deny=true
        hits=1489, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test351, output_ifc=any
Phase: 9
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15149880, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Result:
output-interface: Test351
output-status: up
output-line-status: up
Action: allow

ASA# packet-tracer input Test icmp 192.168.5.10 0 0 192.168.6.10 det$
Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.6.10 using egress ifc  Test351
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group Test_access_in in interface Test
access-list Test_access_in extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false
        hits=1, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692364, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true
        hits=416, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false
        hits=9, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false
        hits=72, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any
Phase: 7
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15149551, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat
Module information for reverse flow ...
Result:
output-interface: Test351
output-status: up
output-line-status: up
Action: allow

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 26-Сен-17, 06:16

>[оверквотинг удален]
> snp_fp_inspect_icmp
> snp_fp_adjacency
> snp_fp_fragment
> snp_ifc_stat
> Module information for reverse flow ...
> Result:
> output-interface: Test351
> output-status: up
> output-line-status: up
> Action: allow
Замечательно, в таком случае, нам нечего не остаётся, как перейти к непосредственному сбору материала для анализа. Для этого воспользуемся функцией дампа пакетов, если вы не возражаете конечно.
asa# capture cap_test_ingress interface Test match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Ingress на Test)
asa# capture cap_test351_egress interface Test351 match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Egress на Test351)
Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа их в Wireshark, второе конечно же предпочтительнее и если это возможно, я хотел бы получить их для анализа в Wireshark, если нет, то хотя бы их вывод в Cli.
asa# show capture cap_test_ingress detail
asa# show capture cap_test351_egress detail
Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует об успешном выполнение процедуры, а результат на клиентах тем не менее, не получен, нам важно понять, что происходит при фактической передаче с реальными пакетами.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 26-Сен-17, 06:52

>[оверквотинг удален]
> Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа
> их в Wireshark, второе конечно же предпочтительнее и если это возможно,
> я хотел бы получить их для анализа в Wireshark, если нет,
> то хотя бы их вывод в Cli.
> asa# show capture cap_test_ingress detail
> asa# show capture cap_test351_egress detail
> Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует
> об успешном выполнение процедуры, а результат на клиентах тем не менее,
> не получен, нам важно понять, что происходит при фактической передаче с
> реальными пакетами.
Сделал:
Ingress:
No.     Time           Source                Destination           Protocol Length Info
      1 0.000000       192.168.6.10          192.168.5.10          ICMP     78     Echo (ping) request  id=0x0001, seq=3/768, ttl=128 (no response found!)
Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep 26, 2017 14:34:26.280548000 Сахалинское стандартное время
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1506396866.280548000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 78 bytes (624 bits)
    Capture Length: 78 bytes (624 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data]
    [Coloring Rule Name: ICMP]
    [Coloring Rule String: icmp || icmpv6]
Ethernet II, Src: Cisco_ac:94:70 (e4:aa:5d:ac:94:70), Dst: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e)
    Destination: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e)
    Source: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 350
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0001 0101 1110 = ID: 350
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x280d (10253)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x864f [validation disabled]
    [Header checksum status: Unverified]
    Source: 192.168.6.10
    Destination: 192.168.5.10
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4d58 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 3 (0x0003)
    Sequence number (LE): 768 (0x0300)
    [No response seen]
        [Expert Info (Warning/Sequence): No response seen to ICMP request]
    Data (32 bytes)
Egress:
No.     Time           Source                Destination           Protocol Length Info
      1 0.000000       192.168.6.10          192.168.5.10          ICMP     78     Echo (ping) request  id=0x0001, seq=3/768, ttl=128 (no response found!)
Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep 26, 2017 14:34:26.280381000 Сахалинское стандартное время
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1506396866.280381000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 78 bytes (624 bits)
    Capture Length: 78 bytes (624 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data]
    [Coloring Rule Name: ICMP]
    [Coloring Rule String: icmp || icmpv6]
Ethernet II, Src: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1), Dst: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
    Destination: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
        Address: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1)
        Address: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 351
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0001 0101 1111 = ID: 351
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x280d (10253)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x864f [validation disabled]
    [Header checksum status: Unverified]
    Source: 192.168.6.10
    Destination: 192.168.5.10
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4d58 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 3 (0x0003)
    Sequence number (LE): 768 (0x0300)
    [No response seen]
        [Expert Info (Warning/Sequence): No response seen to ICMP request]
    Data (32 bytes)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 26-Сен-17, 07:35

>[оверквотинг удален]
>     Checksum: 0x4d58 [correct]
>     [Checksum Status: Good]
>     Identifier (BE): 1 (0x0001)
>     Identifier (LE): 256 (0x0100)
>     Sequence number (BE): 3 (0x0003)
>     Sequence number (LE): 768 (0x0300)
>     [No response seen]
>         [Expert Info (Warning/Sequence): No
> response seen to ICMP request]
>     Data (32 bytes)
Так, вы направили ICMP type 8 code 0 (Echo Request) от узла 192.168.6.10 к узлу 192.168.5.10, в таком случае Ingress это интерфейс Test351 Vlan 351, а Egress это интерфейс Test Vlan 350, у вас получилось наоборот.
Но да это не так уж и важно, в целом мы видим следующие, ASA успешно осуществила коммутацию пакета между интерфейсом Test351 и Test. Что говорит о том, что с настройками ASA у вас всё в порядке.
Но, при этом предполагается, что ICMP type 0 code 0 (Echo Reply) в дампе нет, а это означает, что узел 192.168.5.10 не получил кадр -> не смог его обработать -> заблокировал IP пакет -> согласно RIB ответный IP пакет направляется в адрес другого next-hop -> настроен не отвечать на ICMP Echo Request, возможные проблемы описаны от Layer 1 до Layer 3.
Предлагаю начать с Layer 3 на узле 192.168.5.10, поскольку мы можем предположить, что раз мы видим дамп с ASA, значит узел 192.168.6.10 тоже обладает правильными настройками. Я исхожу из того, что в дампе, которым вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10.
И так приступим, поскольку я не зная какой ОС установлена на ваших узлах, то приведу несколько команд для вывода таблицы маршрутизации:
route print -4
ip route
netstat -r
И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается само-собой. Если между ASA и смежными с ней клиентами, есть какой-то transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от mercus (ok) on 26-Сен-17, 07:59

>[оверквотинг удален]
> вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP
> Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10.
> И так приступим, поскольку я не зная какой ОС установлена на ваших
> узлах, то приведу несколько команд для вывода таблицы маршрутизации:
> route print -4
> ip route
> netstat -r
> И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается
> само-собой. Если между ASA и смежными с ней клиентами, есть какой-то
> transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)
Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре. Был уверен, что он отключен, так как на всех машинах его выключаем по умолчанию при установке винды. При чём в момент отчаяния я даже проверил на одном из клиентов работу брэндмауэра и он был отключен, я и успокоился, что точно отключаем ведь всегда:) А вот второй не проверил. Не знаю, как оказалось, что он включен, но в любом случае проблема решена.
Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального пустяка.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco ASA 5512-x. Трафик между подсетями не ходит" +/–

Сообщение от zanswer CCNA RS and S on 26-Сен-17, 08:21

>[оверквотинг удален]
>> transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)
> Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре.
> Был уверен, что он отключен, так как на всех машинах его
> выключаем по умолчанию при установке винды. При чём в момент отчаяния
> я даже проверил на одном из клиентов работу брэндмауэра и он
> был отключен, я и успокоился, что точно отключаем ведь всегда:) А
> вот второй не проверил. Не знаю, как оказалось, что он включен,
> но в любом случае проблема решена.
> Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального
> пустяка.
Всё нормально, нечего в этом постыдного нет, иногда очень сложно заметить такую мелочь, особенно когда думаешь, что знаешь в чём именно проблема.
Именно по этому мы пошагово исключали возможные причины, выбрав в качестве опорной точки ASA, используя методологию "разделяй и властвуй". Мы начали с Layer 3, на котором непосредственно осуществляется фильтрация IP пакетов, проверили её с помощью packet-tracer функции, исключив фильтрацию, мы спустились к Layer 2, где с помощью capture функции проверили, осуществляется ли коммутация пакетов между интерфейсами и выполняется ли Layer 2 Header Rewrite, обладает ли кадр 802.1Q заголовком и правильным Vlan ID. После чего мы разумно предположили с вами, что мы должны перейти к анализу непосредственно узлов и тоже начали с Layer 3, где и выявили наличие брандмауэра.
Troubleshooting моё любимое направление в сетях, поэтому я с удовольствием потратил время на поиск неисправности. В конечном счёте, любой кейс даёт опыт, практический опыт. У ASA достаточно сложный Packet Flow, а если вспомнить ещё и про концепцию high security level to low security level inspection, то тем более, мест, где можно совершить ошибку, предостаточно, поэтому прекрасно, что мы разобрали ваш кейс.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
Сообщение от pavlinux (ok) on 25-Сен-17, 05:19
> Добрый день, уважаемые пользователи! > Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24 > (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик. Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока не заработает.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 25-Сен-17, 06:24
	>> Добрый день, уважаемые пользователи! >> Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24 >> (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик. > Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока > не заработает. В ASDM уже что только не тыкал, не работает. Да и привычней всё-таки через CLI работать
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:08
>[оверквотинг удален] > inspect xdmcp > inspect sip > inspect netbios > inspect tftp > inspect ip-options > inspect esmtp > inspect icmp > ! > service-policy global_policy global > prompt hostname context Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть? ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён трафик между такими интерфейсами, не нужны, если вы потом не планируете конечно там что-то фильтровать.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:29
	>[оверквотинг удален] >> inspect ip-options >> inspect esmtp >> inspect icmp >> ! >> service-policy global_policy global >> prompt hostname context > Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть? > ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён > трафик между такими интерфейсами, не нужны, если вы потом не планируете > конечно там что-то фильтровать. Тьфу ты, про shutdown снимаю вопрос, с маршрутизацией на клиентах всё в порядке? В целом судя по конфигу у вас, всё должно быть нормально.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 25-Сен-17, 06:30
	>[оверквотинг удален] >> inspect ip-options >> inspect esmtp >> inspect icmp >> ! >> service-policy global_policy global >> prompt hostname context > Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть? > ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён > трафик между такими интерфейсами, не нужны, если вы потом не планируете > конечно там что-то фильтровать. Да, конфигурация с реального оборудования. А что не так? Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между ними. Но пинг между ними не ходил, поэтому прописал ACL, как вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил уже и так всё что только можно, всё равно не ходят пинги.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:32
	>[оверквотинг удален] >> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть? >> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён >> трафик между такими интерфейсами, не нужны, если вы потом не планируете >> конечно там что-то фильтровать. > Да, конфигурация с реального оборудования. А что не так? > Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между > ними. Но пинг между ними не ходил, поэтому прописал ACL, как > вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил > уже и так всё что только можно, всё равно не ходят > пинги. Утро, смотрю на бегу, всё так у вас. Сейчас немного освобожусь, залью ваш конфиг в стенд и посмотрим более предметно.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 07:45
>[оверквотинг удален] > inspect xdmcp > inspect sip > inspect netbios > inspect tftp > inspect ip-options > inspect esmtp > inspect icmp > ! > service-policy global_policy global > prompt hostname context Собрал ваш стенд, взял ваш конфигурационный файл, убрал ACL, same-security-traffic permit intra-interface, результат: "VPCS> ping 192.168.6.2 84 bytes from 192.168.6.2 icmp_seq=1 ttl=64 time=39.918 ms 84 bytes from 192.168.6.2 icmp_seq=2 ttl=64 time=4.243 ms 84 bytes from 192.168.6.2 icmp_seq=3 ttl=64 time=3.777 ms 84 bytes from 192.168.6.2 icmp_seq=4 ttl=64 time=3.828 ms 84 bytes from 192.168.6.2 icmp_seq=5 ttl=64 time=10.001 ms VPCS> trace 192.168.6.2 -P 1 trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop 1 192.168.6.2 3.743 ms 2.439 ms 2.470 ms" Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим несколько вопросов: 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA? 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей ASA? 3) Вы выполняете NAT над участвующими в данном кейсе префиксами?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 25-Сен-17, 08:18
	>[оверквотинг удален] > VPCS> trace 192.168.6.2 -P 1 > trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop > 1 192.168.6.2 3.743 ms 2.439 ms > 2.470 ms" > Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим > несколько вопросов: > 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA? > 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей > ASA? > 3) Вы выполняете NAT над участвующими в данном кейсе префиксами? 1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface на ASA. При этом адрес шлюза с клиента пингуется. 2. IPS нет, вся фильтрация с помощью access-list. 3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри, а не наружу.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от CCNA RS and S on 25-Сен-17, 08:34
	>[оверквотинг удален] >> 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA? >> 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей >> ASA? >> 3) Вы выполняете NAT над участвующими в данном кейсе префиксами? > 1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий > vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface > на ASA. При этом адрес шлюза с клиента пингуется. > 2. IPS нет, вся фильтрация с помощью access-list. > 3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри, > а не наружу. 1) Про это и спрашивал, есть ли в RIB клиента маршрут до нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0 192.168.5.1 и 192.168.6.1 у второго клиента. 2) А NAT какой-то вообще существует на ASA сейчас? Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит о том, что либо не правильно настроена маршрутизация на клиентских компьютерах, либо наши с вами конфигурационные файлы расходятся, а значит вы представили не весь конфигурационный файл.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 25-Сен-17, 09:28
	>[оверквотинг удален] >> а не наружу. > 1) Про это и спрашивал, есть ли в RIB клиента маршрут до > нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально > у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0 > 192.168.5.1 и 192.168.6.1 у второго клиента. > 2) А NAT какой-то вообще существует на ASA сейчас? > Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит > о том, что либо не правильно настроена маршрутизация на клиентских компьютерах, > либо наши с вами конфигурационные файлы расходятся, а значит вы представили > не весь конфигурационный файл. 1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице маршрутизации, но пинги так и не пошли. Ещё интересно то, что из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно. В сеть 192.168.5.0 не ходят, а обратно идут. 2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside. Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё относится к другим интерфейсам.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от CCNA RS and S on 25-Сен-17, 10:51
	>[оверквотинг удален] >> либо наши с вами конфигурационные файлы расходятся, а значит вы представили >> не весь конфигурационный файл. > 1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице > маршрутизации, но пинги так и не пошли. Ещё интересно то, что > из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно. > В сеть 192.168.5.0 не ходят, а обратно идут. > 2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside. > Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в > остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё > относится к другим интерфейсам. Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного файла едва ли у вас содержит что-то секретное. Но, я не настаиваю, давайте попробуем разобраться без полного конфигурационного файла. Выполните в таком случае следующую команду: packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP request) packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP reply) Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне увидеть это в виде трассировки.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 26-Сен-17, 00:59
	>[оверквотинг удален] > Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного > файла едва ли у вас содержит что-то секретное. Но, я не > настаиваю, давайте попробуем разобраться без полного конфигурационного файла. > Выполните в таком случае следующую команду: > packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2 > (ваш DST IP клиента) detailed (ICMP request) > packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2 > (ваш DST IP клиента) detailed (ICMP reply) > Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне > увидеть это в виде трассировки. Как я говорил, packet tracer пакет пропускает: ASA# packet-tracer input Test icmp 192.168.5.10 8 0 192.168.6.10 det$ Phase: 1 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 192.168.6.10 using egress ifc Test351 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group Test_access_in in interface Test access-list Test_access_in extended permit ip any any Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false hits=3, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true hits=7692544, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=any Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true hits=418, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 5 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect icmp service-policy global_policy global Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false hits=10, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 6 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false hits=73, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 7 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Reverse Flow based lookup yields rule: in id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true hits=7692546, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=any Phase: 8 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Reverse Flow based lookup yields rule: in id=0x2aaac3b7ba60, priority=0, domain=inspect-ip-options, deny=true hits=1489, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=Test351, output_ifc=any Phase: 9 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 15149880, packet dispatched to next module Module information for forward flow ... snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_inspect_icmp snp_fp_adjacency snp_fp_fragment snp_ifc_stat Module information for reverse flow ... snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_inspect_icmp snp_fp_adjacency snp_fp_fragment snp_ifc_stat Result: output-interface: Test351 output-status: up output-line-status: up Action: allow ASA# packet-tracer input Test icmp 192.168.5.10 0 0 192.168.6.10 det$ Phase: 1 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 192.168.6.10 using egress ifc Test351 Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group Test_access_in in interface Test access-list Test_access_in extended permit ip any any Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false hits=1, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true hits=7692364, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=any, output_ifc=any Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true hits=416, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 5 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect icmp service-policy global_policy global Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false hits=9, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 6 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false hits=72, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1 src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0 input_ifc=Test, output_ifc=any Phase: 7 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 15149551, packet dispatched to next module Module information for forward flow ... snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_inspect_icmp snp_fp_adjacency snp_fp_fragment snp_ifc_stat Module information for reverse flow ... Result: output-interface: Test351 output-status: up output-line-status: up Action: allow
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от zanswer CCNA RS and S on 26-Сен-17, 06:16
	>[оверквотинг удален] > snp_fp_inspect_icmp > snp_fp_adjacency > snp_fp_fragment > snp_ifc_stat > Module information for reverse flow ... > Result: > output-interface: Test351 > output-status: up > output-line-status: up > Action: allow Замечательно, в таком случае, нам нечего не остаётся, как перейти к непосредственному сбору материала для анализа. Для этого воспользуемся функцией дампа пакетов, если вы не возражаете конечно. asa# capture cap_test_ingress interface Test match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Ingress на Test) asa# capture cap_test351_egress interface Test351 match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Egress на Test351) Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа их в Wireshark, второе конечно же предпочтительнее и если это возможно, я хотел бы получить их для анализа в Wireshark, если нет, то хотя бы их вывод в Cli. asa# show capture cap_test_ingress detail asa# show capture cap_test351_egress detail Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует об успешном выполнение процедуры, а результат на клиентах тем не менее, не получен, нам важно понять, что происходит при фактической передаче с реальными пакетами.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 26-Сен-17, 06:52
	>[оверквотинг удален] > Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа > их в Wireshark, второе конечно же предпочтительнее и если это возможно, > я хотел бы получить их для анализа в Wireshark, если нет, > то хотя бы их вывод в Cli. > asa# show capture cap_test_ingress detail > asa# show capture cap_test351_egress detail > Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует > об успешном выполнение процедуры, а результат на клиентах тем не менее, > не получен, нам важно понять, что происходит при фактической передаче с > реальными пакетами. Сделал: Ingress: No. Time Source Destination Protocol Length Info 1 0.000000 192.168.6.10 192.168.5.10 ICMP 78 Echo (ping) request id=0x0001, seq=3/768, ttl=128 (no response found!) Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) Encapsulation type: Ethernet (1) Arrival Time: Sep 26, 2017 14:34:26.280548000 Сахалинское стандартное время [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1506396866.280548000 seconds [Time delta from previous captured frame: 0.000000000 seconds] [Time delta from previous displayed frame: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Frame Length: 78 bytes (624 bits) Capture Length: 78 bytes (624 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data] [Coloring Rule Name: ICMP] [Coloring Rule String: icmp \|\| icmpv6] Ethernet II, Src: Cisco_ac:94:70 (e4:aa:5d:ac:94:70), Dst: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e) Destination: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e) Source: Cisco_ac:94:70 (e4:aa:5d:ac:94:70) Type: 802.1Q Virtual LAN (0x8100) 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 350 000. .... .... .... = Priority: Best Effort (default) (0) ...0 .... .... .... = CFI: Canonical (0) .... 0001 0101 1110 = ID: 350 Type: IPv4 (0x0800) Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) 0000 00.. = Differentiated Services Codepoint: Default (0) .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) Total Length: 60 Identification: 0x280d (10253) Flags: 0x00 0... .... = Reserved bit: Not set .0.. .... = Don't fragment: Not set ..0. .... = More fragments: Not set Fragment offset: 0 Time to live: 128 Protocol: ICMP (1) Header checksum: 0x864f [validation disabled] [Header checksum status: Unverified] Source: 192.168.6.10 Destination: 192.168.5.10 [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Internet Control Message Protocol Type: 8 (Echo (ping) request) Code: 0 Checksum: 0x4d58 [correct] [Checksum Status: Good] Identifier (BE): 1 (0x0001) Identifier (LE): 256 (0x0100) Sequence number (BE): 3 (0x0003) Sequence number (LE): 768 (0x0300) [No response seen] [Expert Info (Warning/Sequence): No response seen to ICMP request] Data (32 bytes) Egress: No. Time Source Destination Protocol Length Info 1 0.000000 192.168.6.10 192.168.5.10 ICMP 78 Echo (ping) request id=0x0001, seq=3/768, ttl=128 (no response found!) Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) Encapsulation type: Ethernet (1) Arrival Time: Sep 26, 2017 14:34:26.280381000 Сахалинское стандартное время [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1506396866.280381000 seconds [Time delta from previous captured frame: 0.000000000 seconds] [Time delta from previous displayed frame: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Frame Length: 78 bytes (624 bits) Capture Length: 78 bytes (624 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data] [Coloring Rule Name: ICMP] [Coloring Rule String: icmp \|\| icmpv6] Ethernet II, Src: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1), Dst: Cisco_ac:94:70 (e4:aa:5d:ac:94:70) Destination: Cisco_ac:94:70 (e4:aa:5d:ac:94:70) Address: Cisco_ac:94:70 (e4:aa:5d:ac:94:70) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1) Address: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: 802.1Q Virtual LAN (0x8100) 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 351 000. .... .... .... = Priority: Best Effort (default) (0) ...0 .... .... .... = CFI: Canonical (0) .... 0001 0101 1111 = ID: 351 Type: IPv4 (0x0800) Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10 0100 .... = Version: 4 .... 0101 = Header Length: 20 bytes (5) Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) 0000 00.. = Differentiated Services Codepoint: Default (0) .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) Total Length: 60 Identification: 0x280d (10253) Flags: 0x00 0... .... = Reserved bit: Not set .0.. .... = Don't fragment: Not set ..0. .... = More fragments: Not set Fragment offset: 0 Time to live: 128 Protocol: ICMP (1) Header checksum: 0x864f [validation disabled] [Header checksum status: Unverified] Source: 192.168.6.10 Destination: 192.168.5.10 [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Internet Control Message Protocol Type: 8 (Echo (ping) request) Code: 0 Checksum: 0x4d58 [correct] [Checksum Status: Good] Identifier (BE): 1 (0x0001) Identifier (LE): 256 (0x0100) Sequence number (BE): 3 (0x0003) Sequence number (LE): 768 (0x0300) [No response seen] [Expert Info (Warning/Sequence): No response seen to ICMP request] Data (32 bytes)
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от zanswer CCNA RS and S on 26-Сен-17, 07:35
	>[оверквотинг удален] > Checksum: 0x4d58 [correct] > [Checksum Status: Good] > Identifier (BE): 1 (0x0001) > Identifier (LE): 256 (0x0100) > Sequence number (BE): 3 (0x0003) > Sequence number (LE): 768 (0x0300) > [No response seen] > [Expert Info (Warning/Sequence): No > response seen to ICMP request] > Data (32 bytes) Так, вы направили ICMP type 8 code 0 (Echo Request) от узла 192.168.6.10 к узлу 192.168.5.10, в таком случае Ingress это интерфейс Test351 Vlan 351, а Egress это интерфейс Test Vlan 350, у вас получилось наоборот. Но да это не так уж и важно, в целом мы видим следующие, ASA успешно осуществила коммутацию пакета между интерфейсом Test351 и Test. Что говорит о том, что с настройками ASA у вас всё в порядке. Но, при этом предполагается, что ICMP type 0 code 0 (Echo Reply) в дампе нет, а это означает, что узел 192.168.5.10 не получил кадр -> не смог его обработать -> заблокировал IP пакет -> согласно RIB ответный IP пакет направляется в адрес другого next-hop -> настроен не отвечать на ICMP Echo Request, возможные проблемы описаны от Layer 1 до Layer 3. Предлагаю начать с Layer 3 на узле 192.168.5.10, поскольку мы можем предположить, что раз мы видим дамп с ASA, значит узел 192.168.6.10 тоже обладает правильными настройками. Я исхожу из того, что в дампе, которым вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10. И так приступим, поскольку я не зная какой ОС установлена на ваших узлах, то приведу несколько команд для вывода таблицы маршрутизации: route print -4 ip route netstat -r И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается само-собой. Если между ASA и смежными с ней клиентами, есть какой-то transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от mercus (ok) on 26-Сен-17, 07:59
	>[оверквотинг удален] > вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP > Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10. > И так приступим, поскольку я не зная какой ОС установлена на ваших > узлах, то приведу несколько команд для вывода таблицы маршрутизации: > route print -4 > ip route > netstat -r > И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается > само-собой. Если между ASA и смежными с ней клиентами, есть какой-то > transperent Layer 2 брандмауэр об этом тоже стоит сказать. :) Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре. Был уверен, что он отключен, так как на всех машинах его выключаем по умолчанию при установке винды. При чём в момент отчаяния я даже проверил на одном из клиентов работу брэндмауэра и он был отключен, я и успокоился, что точно отключаем ведь всегда:) А вот второй не проверил. Не знаю, как оказалось, что он включен, но в любом случае проблема решена. Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального пустяка.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Cisco ASA 5512-x. Трафик между подсетями не ходит"	+/–
	Сообщение от zanswer CCNA RS and S on 26-Сен-17, 08:21
	>[оверквотинг удален] >> transperent Layer 2 брандмауэр об этом тоже стоит сказать. :) > Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре. > Был уверен, что он отключен, так как на всех машинах его > выключаем по умолчанию при установке винды. При чём в момент отчаяния > я даже проверил на одном из клиентов работу брэндмауэра и он > был отключен, я и успокоился, что точно отключаем ведь всегда:) А > вот второй не проверил. Не знаю, как оказалось, что он включен, > но в любом случае проблема решена. > Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального > пустяка. Всё нормально, нечего в этом постыдного нет, иногда очень сложно заметить такую мелочь, особенно когда думаешь, что знаешь в чём именно проблема. Именно по этому мы пошагово исключали возможные причины, выбрав в качестве опорной точки ASA, используя методологию "разделяй и властвуй". Мы начали с Layer 3, на котором непосредственно осуществляется фильтрация IP пакетов, проверили её с помощью packet-tracer функции, исключив фильтрацию, мы спустились к Layer 2, где с помощью capture функции проверили, осуществляется ли коммутация пакетов между интерфейсами и выполняется ли Layer 2 Header Rewrite, обладает ли кадр 802.1Q заголовком и правильным Vlan ID. После чего мы разумно предположили с вами, что мы должны перейти к анализу непосредственно узлов и тоже начали с Layer 3, где и выявили наличие брандмауэра. Troubleshooting моё любимое направление в сетях, поэтому я с удовольствием потратил время на поиск неисправности. В конечном счёте, любой кейс даёт опыт, практический опыт. У ASA достаточно сложный Packet Flow, а если вспомнить ещё и про концепцию high security level to low security level inspection, то тем более, мест, где можно совершить ошибку, предостаточно, поэтому прекрасно, что мы разобрали ваш кейс.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору