The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Cisco ASA 5512-x. Трафик между подсетями не ходит"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]
Курсы по Juniper Junos в Москве и Петербурге
"Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 25-Сен-17, 03:30 
Добрый день, уважаемые пользователи!

Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24 (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик. Ниже конфиг, который настраиваю (лишнее убрано). В итоге пинги между этими подсетями не ходят. При том, что в packet tracer'е показывает, что imcp пакет проходит из одной сети в другую (и обратно) без проблем.  Помогите, пожалуйста.

interface GigabitEthernet0/0
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface GigabitEthernet0/2
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2.313
vlan 313
nameif DMZ
security-level 50
ip address 10.3.30.1 255.255.255.0
!
interface GigabitEthernet0/3
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3.350
vlan 350
nameif Test
security-level 100
ip address 192.168.5.1 255.255.255.0
!
interface GigabitEthernet0/3.351
vlan 351
nameif Test351
security-level 100
ip address 192.168.6.1 255.255.255.0
!
boot system disk0:/asa961-10-smp-k8.bin
boot system disk0:/asa912-smp-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name test.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network Test350
subnet 192.168.5.0 255.255.255.0
object network Test351
subnet 192.168.6.0 255.255.255.0
access-list Test_access_in extended permit ip any any
access-list Test351_access_in extended permit ip any any
access-list no_nat_test extended permit ip 192.168.5.0 255.255.255.0 192.168.6.0 255.255.255.0
pager lines 24
mtu Test 1500
mtu Test351 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any Test
icmp permit any Test351
asdm image disk0:/asdm-762.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
access-group Test_access_in in interface Test
access-group Test351_access_in in interface Test351
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect esmtp
  inspect icmp
!
service-policy global_policy global
prompt hostname context

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от pavlinux (ok) on 25-Сен-17, 05:19 
> Добрый день, уважаемые пользователи!
> Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24
> (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик.

Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока не заработает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 25-Сен-17, 06:24 
>> Добрый день, уважаемые пользователи!
>> Имеется Cisco ASA 5512-x, необходимо настроить два сабинтерфейса - сеть 192.168.5.0/24
>> (vlan 350) и 192.168.6.0/24 (vlan351), чтобы между ними ходил любой трафик.
> Это ж не linux iptables, запускай ASDM и сиди тыкай мышкой пока
> не заработает.

В ASDM уже что только не тыкал, не работает. Да и привычней всё-таки через CLI работать

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:08 
>[оверквотинг удален]
>   inspect xdmcp
>   inspect sip
>   inspect netbios
>   inspect tftp
>   inspect ip-options
>   inspect esmtp
>   inspect icmp
> !
> service-policy global_policy global
> prompt hostname context

Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?

ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён трафик между такими интерфейсами, не нужны, если вы потом не планируете конечно там что-то фильтровать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:29 
>[оверквотинг удален]
>>   inspect ip-options
>>   inspect esmtp
>>   inspect icmp
>> !
>> service-policy global_policy global
>> prompt hostname context
> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
> трафик между такими интерфейсами, не нужны, если вы потом не планируете
> конечно там что-то фильтровать.

Тьфу ты, про shutdown снимаю вопрос, с маршрутизацией на клиентах всё в порядке? В целом судя по конфигу у вас, всё должно быть нормально.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 25-Сен-17, 06:30 
>[оверквотинг удален]
>>   inspect ip-options
>>   inspect esmtp
>>   inspect icmp
>> !
>> service-policy global_policy global
>> prompt hostname context
> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
> трафик между такими интерфейсами, не нужны, если вы потом не планируете
> конечно там что-то фильтровать.

Да, конфигурация с реального оборудования. А что не так?

Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между ними. Но пинг между ними не ходил, поэтому прописал ACL, как вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил уже и так всё что только можно, всё равно не ходят пинги.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 06:32 
>[оверквотинг удален]
>> Команда shutdown на GigabitEthernet 0/0 у вас и на реальном оборудовании есть?
>> ACL разрешающий всё, при условии, что интерфейсы имеют одинаковый security-level и разрешён
>> трафик между такими интерфейсами, не нужны, если вы потом не планируете
>> конечно там что-то фильтровать.
> Да, конфигурация с реального оборудования. А что не так?
> Изначально были интерфейсы с одинаковым security-level и разрешением ходить трафику между
> ними. Но пинг между ними не ходил, поэтому прописал ACL, как
> вариант. Но толку ноль. Уже не знаю что делать, по-моему разрешил
> уже и так всё что только можно, всё равно не ходят
> пинги.

Утро, смотрю на бегу, всё так у вас. Сейчас немного освобожусь, залью ваш конфиг в стенд и посмотрим более предметно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 25-Сен-17, 07:45 
>[оверквотинг удален]
>   inspect xdmcp
>   inspect sip
>   inspect netbios
>   inspect tftp
>   inspect ip-options
>   inspect esmtp
>   inspect icmp
> !
> service-policy global_policy global
> prompt hostname context

Собрал ваш стенд, взял ваш конфигурационный файл, убрал ACL, same-security-traffic permit intra-interface, результат:

"VPCS> ping 192.168.6.2
84 bytes from 192.168.6.2 icmp_seq=1 ttl=64 time=39.918 ms
84 bytes from 192.168.6.2 icmp_seq=2 ttl=64 time=4.243 ms
84 bytes from 192.168.6.2 icmp_seq=3 ttl=64 time=3.777 ms
84 bytes from 192.168.6.2 icmp_seq=4 ttl=64 time=3.828 ms
84 bytes from 192.168.6.2 icmp_seq=5 ttl=64 time=10.001 ms

VPCS> trace 192.168.6.2 -P 1
trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop
1   192.168.6.2   3.743 ms  2.439 ms  2.470 ms"

Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим несколько вопросов:

1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей ASA?
3) Вы выполняете NAT над участвующими в данном кейсе префиксами?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 25-Сен-17, 08:18 
>[оверквотинг удален]
> VPCS> trace 192.168.6.2 -P 1
> trace to 192.168.6.2, 8 hops max (ICMP), press Ctrl+C to stop
>  1   192.168.6.2   3.743 ms  2.439 ms
>  2.470 ms"
> Что собственно говоря было ожидаемо, для вашей конфигурации. В связи с этим
> несколько вопросов:
> 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
> 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей
> ASA?
> 3) Вы выполняете NAT над участвующими в данном кейсе префиксами?

1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface на ASA. При этом адрес шлюза с клиента пингуется.  
2. IPS нет, вся фильтрация с помощью access-list.
3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри, а не наружу.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от CCNA RS and S on 25-Сен-17, 08:34 
>[оверквотинг удален]
>> 1) Ваши клиенты обладают маршрутом до нужного префикса через ASA?
>> 2) Вы выполняете ещё какие-либо процедуры фильтрации, к примеру IPS на вашей
>> ASA?
>> 3) Вы выполняете NAT над участвующими в данном кейсе префиксами?
> 1. Не совсем понял вопрос. Клиент подключен через свитч, в порт, разрешающий
> vlan соответствующий нужной сети. На клиенте прописан шлюз - адрес subinterface
> на ASA. При этом адрес шлюза с клиента пингуется.
> 2. IPS нет, вся фильтрация с помощью access-list.
> 3. NAT этим сетям не прописывал, мне ведь нужно хождение трафика внутри,
> а не наружу.

1) Про это и спрашивал, есть ли в RIB клиента маршрут до нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0 192.168.5.1 и 192.168.6.1 у второго клиента.
2) А NAT какой-то вообще существует на ASA сейчас?

Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит о том, что либо не правильно настроена маршрутизация на клиентских компьютерах, либо наши с вами конфигурационные файлы расходятся, а значит вы представили не весь конфигурационный файл.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 25-Сен-17, 09:28 
>[оверквотинг удален]
>> а не наружу.
> 1) Про это и спрашивал, есть ли в RIB клиента маршрут до
> нужного префикса, условно route add 192.168.6.0 mask 255.255.255.0 192.168.5.1 и зеркально
> у второго клиента, или же просто route add 0.0.0.0 mask 0.0.0.0
> 192.168.5.1 и 192.168.6.1 у второго клиента.
> 2) А NAT какой-то вообще существует на ASA сейчас?
> Ваша конфигурация не запрещает коммутацию пакетов между под-интерфейсами ASA, что говорит
> о том, что либо не правильно настроена маршрутизация на клиентских компьютерах,
> либо наши с вами конфигурационные файлы расходятся, а значит вы представили
> не весь конфигурационный файл.

1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице маршрутизации, но пинги так и не пошли. Ещё интересно то, что из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно. В сеть 192.168.5.0 не ходят, а обратно идут.
2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside.

Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё относится к другим интерфейсам.  


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от CCNA RS and S on 25-Сен-17, 10:51 
>[оверквотинг удален]
>> либо наши с вами конфигурационные файлы расходятся, а значит вы представили
>> не весь конфигурационный файл.
> 1. На клиентах маршрутов не было. Прописал вручную, они появились в таблице
> маршрутизации, но пинги так и не пошли. Ещё интересно то, что
> из сети интерфейса inside пинги проходят в сеть 192.168.6.0 и обратно.
> В сеть 192.168.5.0 не ходят, а обратно идут.
> 2. NAT настроен для интерфейсов, которым нужно отправлять трафик через outside.
> Весь конфигурационный файл я не могу показать, по соображениям безопасности. Но в
> остальном конфиге точно нет правил блокирующих трафик между под-интерфейсами. Там всё
> относится к другим интерфейсам.

Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного файла едва ли у вас содержит что-то секретное. Но, я не настаиваю, давайте попробуем разобраться без полного конфигурационного файла.

Выполните в таком случае следующую команду:

packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP request)
packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2 (ваш DST IP клиента) detailed (ICMP reply)

Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне увидеть это в виде трассировки.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 26-Сен-17, 00:59 
>[оверквотинг удален]
> Эм, адреса outside интерфейса меня мало интересуют, а остальная часть конфигурационного
> файла едва ли у вас содержит что-то секретное. Но, я не
> настаиваю, давайте попробуем разобраться без полного конфигурационного файла.
> Выполните в таком случае следующую команду:
> packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 8 0 192.168.6.2
> (ваш DST IP клиента) detailed (ICMP request)
> packet-tracer input Test icmp 192.168.5.2 (ваш SRC IP клиента) 0 0 192.168.6.2
> (ваш DST IP клиента) detailed (ICMP reply)
> Поскольку я не могу иначе проанализировать путь пакета, то packet-tracer позволит мне
> увидеть это в виде трассировки.

Как я говорил, packet tracer пакет пропускает:

ASA# packet-tracer input Test icmp 192.168.5.10 8 0 192.168.6.10 det$

Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.6.10 using egress ifc  Test351

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group Test_access_in in interface Test
access-list Test_access_in extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false
        hits=3, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692544, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true
        hits=418, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false
        hits=10, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false
        hits=73, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692546, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any

Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x2aaac3b7ba60, priority=0, domain=inspect-ip-options, deny=true
        hits=1489, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test351, output_ifc=any

Phase: 9
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15149880, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
output-interface: Test351
output-status: up
output-line-status: up
Action: allow


ASA# packet-tracer input Test icmp 192.168.5.10 0 0 192.168.6.10 det$

Phase: 1
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.6.10 using egress ifc  Test351

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group Test_access_in in interface Test
access-list Test_access_in extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3ce4cb0, priority=13, domain=permit, deny=false
        hits=1, user_data=0x2aaab97b8380, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac08bf620, priority=0, domain=nat-per-session, deny=true
        hits=7692364, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=any, output_ifc=any

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499850, priority=0, domain=inspect-ip-options, deny=true
        hits=416, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
  inspect icmp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3c25fb0, priority=70, domain=inspect-icmp, deny=false
        hits=9, user_data=0x2aaac3c274b0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 6
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x2aaac3499060, priority=66, domain=inspect-icmp-error, deny=false
        hits=72, user_data=0x2aaac34c0bd0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=any
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=any, dscp=0x0
        input_ifc=Test, output_ifc=any

Phase: 7
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15149551, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...

Result:
output-interface: Test351
output-status: up
output-line-status: up
Action: allow


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 26-Сен-17, 06:16 
>[оверквотинг удален]
> snp_fp_inspect_icmp
> snp_fp_adjacency
> snp_fp_fragment
> snp_ifc_stat
> Module information for reverse flow ...
> Result:
> output-interface: Test351
> output-status: up
> output-line-status: up
> Action: allow

Замечательно, в таком случае, нам нечего не остаётся, как перейти к непосредственному сбору материала для анализа. Для этого воспользуемся функцией дампа пакетов, если вы не возражаете конечно.

asa# capture cap_test_ingress interface Test match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Ingress на Test)
asa# capture cap_test351_egress interface Test351 match icmp 192.168.5.10 255.255.255.255 192.168.6.10 255.255.255.255 (Egress на Test351)

Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа их в Wireshark, второе конечно же предпочтительнее и если это возможно, я хотел бы получить их для анализа в Wireshark, если нет, то хотя бы их вывод в Cli.

asa# show capture cap_test_ingress detail
asa# show capture cap_test351_egress detail

Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует об успешном выполнение процедуры, а результат на клиентах тем не менее, не получен, нам важно понять, что происходит при фактической передаче с реальными пакетами.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 26-Сен-17, 06:52 
>[оверквотинг удален]
> Полученные дампы можно просмотреть либо в рамках Cli, либо выгрузить для анализа
> их в Wireshark, второе конечно же предпочтительнее и если это возможно,
> я хотел бы получить их для анализа в Wireshark, если нет,
> то хотя бы их вывод в Cli.
> asa# show capture cap_test_ingress detail
> asa# show capture cap_test351_egress detail
> Поскольку packet-tracer при симуляции коммутации пакета между интерфейсами ASA рапортует
> об успешном выполнение процедуры, а результат на клиентах тем не менее,
> не получен, нам важно понять, что происходит при фактической передаче с
> реальными пакетами.

Сделал:

Ingress:

No.     Time           Source                Destination           Protocol Length Info
      1 0.000000       192.168.6.10          192.168.5.10          ICMP     78     Echo (ping) request  id=0x0001, seq=3/768, ttl=128 (no response found!)

Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep 26, 2017 14:34:26.280548000 Сахалинское стандартное время
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1506396866.280548000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 78 bytes (624 bits)
    Capture Length: 78 bytes (624 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data]
    [Coloring Rule Name: ICMP]
    [Coloring Rule String: icmp || icmpv6]
Ethernet II, Src: Cisco_ac:94:70 (e4:aa:5d:ac:94:70), Dst: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e)
    Destination: HewlettP_9b:65:5e (b0:5a:da:9b:65:5e)
    Source: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 350
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0001 0101 1110 = ID: 350
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x280d (10253)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x864f [validation disabled]
    [Header checksum status: Unverified]
    Source: 192.168.6.10
    Destination: 192.168.5.10
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4d58 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 3 (0x0003)
    Sequence number (LE): 768 (0x0300)
    [No response seen]
        [Expert Info (Warning/Sequence): No response seen to ICMP request]
    Data (32 bytes)

Egress:

No.     Time           Source                Destination           Protocol Length Info
      1 0.000000       192.168.6.10          192.168.5.10          ICMP     78     Echo (ping) request  id=0x0001, seq=3/768, ttl=128 (no response found!)

Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Sep 26, 2017 14:34:26.280381000 Сахалинское стандартное время
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1506396866.280381000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 78 bytes (624 bits)
    Capture Length: 78 bytes (624 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:icmp:data]
    [Coloring Rule Name: ICMP]
    [Coloring Rule String: icmp || icmpv6]
Ethernet II, Src: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1), Dst: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
    Destination: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
        Address: Cisco_ac:94:70 (e4:aa:5d:ac:94:70)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1)
        Address: AsustekC_a0:cb:d1 (00:22:15:a0:cb:d1)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 351
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0001 0101 1111 = ID: 351
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.6.10, Dst: 192.168.5.10
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x280d (10253)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x864f [validation disabled]
    [Header checksum status: Unverified]
    Source: 192.168.6.10
    Destination: 192.168.5.10
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4d58 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 3 (0x0003)
    Sequence number (LE): 768 (0x0300)
    [No response seen]
        [Expert Info (Warning/Sequence): No response seen to ICMP request]
    Data (32 bytes)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 26-Сен-17, 07:35 
>[оверквотинг удален]
>     Checksum: 0x4d58 [correct]
>     [Checksum Status: Good]
>     Identifier (BE): 1 (0x0001)
>     Identifier (LE): 256 (0x0100)
>     Sequence number (BE): 3 (0x0003)
>     Sequence number (LE): 768 (0x0300)
>     [No response seen]
>         [Expert Info (Warning/Sequence): No
> response seen to ICMP request]
>     Data (32 bytes)

Так, вы направили ICMP type 8 code 0 (Echo Request) от узла 192.168.6.10 к узлу 192.168.5.10, в таком случае Ingress это интерфейс Test351 Vlan 351, а Egress это интерфейс Test Vlan 350, у вас получилось наоборот.

Но да это не так уж и важно, в целом мы видим следующие, ASA успешно осуществила коммутацию пакета между интерфейсом Test351 и Test. Что говорит о том, что с настройками ASA у вас всё в порядке.

Но, при этом предполагается, что ICMP type 0 code 0 (Echo Reply) в дампе нет, а это означает, что узел 192.168.5.10 не получил кадр -> не смог его обработать -> заблокировал IP пакет -> согласно RIB ответный IP пакет направляется в адрес другого next-hop -> настроен не отвечать на ICMP Echo Request, возможные проблемы описаны от Layer 1 до Layer 3.

Предлагаю начать с Layer 3 на узле 192.168.5.10, поскольку мы можем предположить, что раз мы видим дамп с ASA, значит узел 192.168.6.10 тоже обладает правильными настройками. Я исхожу из того, что в дампе, которым вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10.

И так приступим, поскольку я не зная какой ОС установлена на ваших узлах, то приведу несколько команд для вывода таблицы маршрутизации:

route print -4
ip route
netstat -r

И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается само-собой. Если между ASA и смежными с ней клиентами, есть какой-то transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от mercus (ok) on 26-Сен-17, 07:59 
>[оверквотинг удален]
> вы обладаете, нет нечего кроме ICMP type 8 code 0 (ICMP
> Request) с другими SN, от узла 192.168.6.10 к узлу 192.168.5.10.
> И так приступим, поскольку я не зная какой ОС установлена на ваших
> узлах, то приведу несколько команд для вывода таблицы маршрутизации:
> route print -4
> ip route
> netstat -r
> И ещё, то, что вы отключили на ваших узлах локальные брандмауэры подразумевается
> само-собой. Если между ASA и смежными с ней клиентами, есть какой-то
> transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)

Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре. Был уверен, что он отключен, так как на всех машинах его выключаем по умолчанию при установке винды. При чём в момент отчаяния я даже проверил на одном из клиентов работу брэндмауэра и он был отключен, я и успокоился, что точно отключаем ведь всегда:) А вот второй не проверил. Не знаю, как оказалось, что он включен, но в любом случае проблема решена.

Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального пустяка.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco ASA 5512-x. Трафик между подсетями не ходит"  +/
Сообщение от zanswer CCNA RS and S on 26-Сен-17, 08:21 
>[оверквотинг удален]
>> transperent Layer 2 брандмауэр об этом тоже стоит сказать. :)
> Блииин, стыдно говорить, но дело оказалось и правда во включенном виндовом брэндмауэре.
> Был уверен, что он отключен, так как на всех машинах его
> выключаем по умолчанию при установке винды. При чём в момент отчаяния
> я даже проверил на одном из клиентов работу брэндмауэра и он
> был отключен, я и успокоился, что точно отключаем ведь всегда:) А
> вот второй не проверил. Не знаю, как оказалось, что он включен,
> но в любом случае проблема решена.
> Огромное спасибо за помощь! Извиняюсь, что потратил Ваше время из-за такого банального
> пустяка.

Всё нормально, нечего в этом постыдного нет, иногда очень сложно заметить такую мелочь, особенно когда думаешь, что знаешь в чём именно проблема.

Именно по этому мы пошагово исключали возможные причины, выбрав в качестве опорной точки ASA, используя методологию "разделяй и властвуй". Мы начали с Layer 3, на котором непосредственно осуществляется фильтрация IP пакетов, проверили её с помощью packet-tracer функции, исключив фильтрацию, мы спустились к Layer 2, где с помощью capture функции проверили, осуществляется ли коммутация пакетов между интерфейсами и выполняется ли Layer 2 Header Rewrite, обладает ли кадр 802.1Q заголовком и правильным Vlan ID. После чего мы разумно предположили с вами, что мы должны перейти к анализу непосредственно узлов и тоже начали с Layer 3, где и выявили наличие брандмауэра.

Troubleshooting моё любимое направление в сетях, поэтому я с удовольствием потратил время на поиск неисправности. В конечном счёте, любой кейс даёт опыт, практический опыт. У ASA достаточно сложный Packet Flow, а если вспомнить ещё и про концепцию high security level to low security level inspection, то тем более, мест, где можно совершить ошибку, предостаточно, поэтому прекрасно, что мы разобрали ваш кейс.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor