想跟版上的前輩請教一個問題
我目前在網路連線上出現了一個很奇怪的問題
架構大約為:
1.目前我公司有2各外點,分別為A公司10.10.11.XX及B公司10.10.12.XX
2.2邊都走遠傳速博的線路回總公司,速博用一條線路包著這2各網段(速博為172.XX.XX.XX)
3.在總公司這邊我用一台asa5505接速博這條線路,再將其連進公司內網
4.目前2邊都可連進公司內部網路
目前問題:
如果我用10.10.11.XX的設備,ping總公司內部設備,是通的;但如果我用10.10.12.XX的設備去ping總公司內部設備卻是不通,但實際我用遠端連線這些方式連總公司的設備卻是通的,
也就是說實際上10.10.12.XX的網路是通的,只是ping不通而已.
防火牆的部分我是開any any,但還是有這樣的狀況發生,不知道是不是有前輩有遇過這樣的情況,可以麻煩靠知一下解決方法,或是能留個連絡方式,可以跟您討論一下此問題,感謝~
10.10.11.XX ping總公司 可以通 是代表 ICMP有回應
10.10.12.XX ping總公司不通 代表icmp無回應
但實際我用遠端連線這些方式連總公司的設備卻是通的
代表你的線路是通的
所以你現在的需求是要 10.10.12.XX ping總公司要有icmp回應是吧
TO Jazozazo大:
是的,因為10.10.12.XX跟10.10.11.XX是同一條線路進入到ASA5505,所以我的認知是10.10.11.XX的icmp有回應,那10.10.12.XX也因該有回應才對,因為我ASA5505並沒有去給他做阻擋
你的asa5505沒有做阻擋
那麼 從 10.10.12.xx 還有 10.10.11.XX進到貴司的路由是一樣的嗎
不同路徑有不同的過濾規則
TO Jazozazo大:
路由是相同的,分公司的設備跟設定也都一樣;我有另一個想法是10.10.11.XX跟10.10.12.XX是包在遠傳速博的172.XX.XX.XX裡面,這樣在近來我公司這邊的設備時,會有衝突嗎?像是被蓋掉,有這種可能性嗎?
不算是有衝突
而是根據介面不同會有不同的acl規則
因為不清楚後端的acl規則 所以沒辦法做很肯定的回答
只能清楚知道一點 從 10.10.12.XX來的icmp封包會被阻擋
你從 10.10.12.XX ping總公司的ip
你看到的回應訊息是什麼
request time out嗎
還是ttl expired
這些是不同的意義
TO Jazozazo大:
我剛剛又重設了一次,現在如果我用10.10.12.XX的PC端去ping內網是通的,或是直接去ping 168.95.1.1也是通的,但如果我是用10.10.12.XX的switch去做相同的動作,是不通的;10.10.11.XX那邊則是switch或PC都是通的;設備相同設定也相同,可是卻有這樣的問題產生,這部分我有點不太理解~
你用 10.10.12.XX網段的switch ping 總公司沒回應
你的switch 是L2網管類型的嗎?
有設定 default gateway嗎?
TO Jazozazo大:
switch型號是cisco 2560,default gateway有設定,早期的時候,是沒有ASA5505,那時是直接接到cisco3560上面,那時icmp都是正常的,現在是為了要控管一些東西,所以接上asa5505,接上去後,icmp就有以上的問題產生了~
呵呵 原來如此
所以目前的情況是 asa5505 全部開放 從 10.10.12.XX網段來的資料
而且ping也有開放可以回應
但是switch 2560 ping你們總公司的ip無回應
而10.10.12.XX的pc ping 總公司ip有回應
是這樣的描述對吧
TO Jazozazo大:
是的><
幫你問看看其他高手好了
看看有沒有其他方向提供樓主除錯
可是感覺還是acl規則的問題
呵呵
TO Jazozazo大:
太感謝了><
高手回覆了
看起來有兩個可能
Cisco 2560的default route沒設定,請show ip route檢查其routing是否正常 <------default route有設定
Cisco 2560的routing沒有enable,請show ip route檢查是否有routing列出 <-----switch 的 routing 有啟動的指令嗎? ip routing
icmp 並不在 tcp 或 udp any to any 裡面...
我建議,可否貼個ACL的Config會讓大家比較容易幫你找問題~~
TO Kaku0419大:
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network dmz-192-1
subnet 192.168.201.0 255.255.255.0
object network outside-internet
subnet 203.66.12.0 255.255.255.224
object network dmz-192-2
subnet 192.168.202.0 255.255.255.0
object network dmz-10-1
subnet 10.88.201.0 255.255.255.0
object network dmz-10-2
subnet 10.88.202.0 255.255.255.0
object network inside-oa
subnet 10.88.0.0 255.255.255.0
object-group network DM_INLINE_NETWORK_3
network-object object dmz-192-1
network-object object dmz-192-2
object-group network DM_INLINE_NETWORK_4
network-object object dmz-10-1
network-object object dmz-10-2
access-list dmz_access_in extended permit ip any any
access-list inside_access_in extended deny ip object-group DM_INLINE_NETWORK_3 o bject inside-oa
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended deny ip object-group DM_INLINE_NETWORK_4 object inside-oa
access-list outside_access_in extended deny ip object inside-oa object outside-i nternet
access-list outside_access_in extended permit ip any any inactive
access-list global_access extended permit ip any any
我將10.10.11.X跟10.10.12.X改為10.88.201.X跟10.88.202.X
不好意思,其實我對ASA5505不是很熟,只上過一堂課,如果要ping是否需要加
permit icmp any any 呢?
TO Kaku0419大:
我也不熟,所以可以一起討論XD
你提到的permit icmp any any
我有開permit ip any any
如果我認知是正確的話,它的IP就是指全開
我有開permit ip any any
如果我認知是正確的話,它的IP就是指全開
但我的認知,卻是不一樣的東西耶... 就前一代的pix而言兩個是不同的 ip any any
主要是 ip protocol tcp/udp , 而icmp又是另一個protocol.. 好像啦..呵