查看:4799|回复：31
助理工程师
设备：CISCO&&以做NAT转换，DHCP在交换机上做，均开启TELNET，1841开启SSH内网可连接
环境：公司现有电脑50左右，其中固定IP配置的服务器5台，交换IP一个 路由IP一个 打印机IP一个。交换上DHCP缺省保留192.168.0.1-192.168.20断
问题：1，将设备挂上后，公司电脑电脑可以自动获取DHCP，可以上网，但是时间长了就不行了容易掉线，一但掉线后，重新修复，就会有其他的电脑出现网络掉线的情况。
& && && &&&2，想对内网的192.168.0.13服务器的SSH服务22口映射到外网IP的22口上，可是无法连接，提示连接限制。
内网可以SSH .13服务器，可以SSH路由。
192.168.0.1 路由&&192.168.0.2交换 下面是给出的路由的配置情况，请大家看了帮我说说是什么原因导致上面的两个问题啊？在线等。
groupdai#sh run
Building configuration...
Current configuration : 1387 bytes
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
hostname groupdai
boot-start-marker
boot system flash c1841-adventerprisek9-mz.124-25d.bin
boot-end-marker
no logging buffered
enable secret 5 $1$kYVq$xKrlBEkQu85KEYpSl9bVR/
enable password 7 1D041E
no aaa new-model
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
username groupdai privilege 15 password 7 E1B020E28
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no mop enabled
interface FastEthernet0/1
ip address 115.236.75.XX 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 115.236.75.XY
ip route 192.168.0.0 255.255.255.0 192.168.0.2
no ip http server
no ip http secure-server
ip nat pool NAT 115.236.75.XX 115.236.75.XX netmask 255.255.255.252
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.0.13 22 115.236.75.XX 22 extendable
access-list 1 permit 192.168.0.0 0.0.255.255
snmp-server community groupdai RO
control-plane
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
password 7 1D041E4A5354
transport input telnet
scheduler allocate
助理工程师
内网的192.168.0.13服务器的SSH服务22口映射到外网IP的22口
是192.168.0.13:22 映射到路由器的F0/1:22吗
好像在路由器上静态NAT和PAT不能共用同一个接口地址
第一时间解答
2960能做DHCP？
没用过这设备啊，这是二层，DHCP服务一般也是做在三层设备上面吧，可能我无知了:ldw7:
作为二层设备的应用，网络一般只会配置VLAN或者一定的端口安全。
第一个问题，你可以去路由器上面做DHCP
第二个问题呢，楼上已经正解了，外网不能用22端口，要换个端口映射给内部的13服务器
另外看你配置，哪里有配置SSH哦:(mars_16):
积极参与讨论
助理工程师
2960 二层交换 可以做DHCP
以上配置是路由的配置，同一口不能做22映射？&&我换了内网22映射外网222口 还是不行
SSH和DHCP我都做在交换上，路由上做了SSH后提示错误，，
助理工程师
Sw_groupdai#sh run
Building configuration...
Current configuration : 3394 bytes
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Sw_groupdai
boot-start-marker
boot-end-marker
enable secret 5 $1$39IN$tUqSIsBZ25yi3zXn1QR9c.
username XXXXX password 0 XXXXXXX
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip dhcp excluded-address 192.168.0.1 192.168.0.10
ip dhcp pool 1
& &network 192.168.0.0 255.255.255.0
& &default-router 192.168.0.1
& &dns-server 202.101.172.35 202.101.172.46
ip domain-name groupdai.com
crypto pki trustpoint TP-self-signed-
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-
revocation-check none
rsakeypair TP-self-signed-
crypto pki certificate chain TP-self-signed-
certificate self-signed 01
&&201B9 A09 2AD0
&&D2D DE674
&&38 33 03031
&&D30 305AD 32649
&&4F532D53 656C662D 642D43 D32
&&09 2AD3 818D1
&&07B69 3D7B8BAA 5BAD6E1A F9AF30AC
E949E21C E6921A05
&&9C3ECB6 FB28DEB4 4B826E2E 35B0B DA449FC
&&4CB0AD1F 8CA423BA 11BB1 305F60EF 0B3CB9F3 2AA3C2DD
&&30CBB90B D1F56 1784648B F8BEE8E8 F0CFFC5D 2F19852D
&&1A001A3 FD130101 FF101FF
&&551DA82 726F75 E661 692E636F
&&6D301F06 DD6 8581FD9F EA71E31D B431F94A 2BA3F9B8
&&BD71D 0EDD685 81FD9FEA 71E31DB4 31F94A2B A3F9B8BD
&&AD01 7D EAAB806
&&0FF4E9E7 9FD4E421 AFFEA5A6 989DCE32 58F341DA 95B6A284 8BBC6A55 5AE305A0
&&8E61FA6E 52AE1E AFDB9F6B D0EB3DAB C529CA85 9F38A45B FA4D580E
&&B121CE4A 60F2D1B8 27E0A367 28AF1C69 1AA6A161 F6B2D54 70C01DD8
&&CF8B62BB 4A867E0D F6C51A3A 9DCE5C5F AA92C7BC
spanning-tree mode pvst
spanning-tree extend system-id
vlan internal allocation policy ascending
ip ssh version 1
interface GigabitEthernet0/1
interface GigabitEthernet0/2
interface GigabitEthernet0/3
interface GigabitEthernet0/4
interface GigabitEthernet0/5
interface GigabitEthernet0/6
interface GigabitEthernet0/7
interface GigabitEthernet0/8
interface GigabitEthernet0/9
interface GigabitEthernet0/10
interface GigabitEthernet0/11
interface GigabitEthernet0/12
interface GigabitEthernet0/13
interface GigabitEthernet0/14
interface GigabitEthernet0/15
interface GigabitEthernet0/16
interface GigabitEthernet0/17
interface GigabitEthernet0/18
interface GigabitEthernet0/19
interface GigabitEthernet0/20
interface GigabitEthernet0/21
interface GigabitEthernet0/22
interface GigabitEthernet0/23
interface GigabitEthernet0/24
interface Vlan1
ip address 192.168.0.2 255.255.255.0
no ip route-cache
ip default-gateway 192.168.0.1
ip http server
ip http secure-server
control-plane
line con 0
line vty 0 4
password xxxxxx
login local
line vty 5 15
password xxxxxx
以上是交换配置
DHCP，你最好是做在路由器上试试，我是从来没在二层上面配过DHCP
SSH那个，我使用ip nat inside source static tcp xxx.xxx.xxx.xxx 22 xxx.xxx.xxx.xxx 22 这条命令映射是没有问题的，我是用的多余的公网地址，不是外网接口地址，因为边界路由器开启SSH，22端口已经被占用，而我测试这边一时只能远程到其他路由器上，不能使用SSH其他端口进行测试。
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
助理工程师
交换上我做DHCP 但是没有做任何VLAN的划分
以前是把DHCP写在路由上的，可是能PING通外网地址和网关 但是无法上网， 后来就换到
交换上来做，今天才把路由配置重新写了一下，中午吃饭的时候试试看就知道效果了:lol
初级工程师
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.0.13 22 115.236.75.XX 22 extendable
&&以前也碰过这样的问题但是不记得是路由器还是防火墙了。
& &楼主NAT里面 115.236.75.XX 这个地址是不是和接口地址一样的啊。
ip nat inside source static tcp 192.168.0.13 22 interface f0/1 22 就可以了。
1、路由器上的那条路由ip route 192.168.0.0 255.255.255.0 192.168.0.2 请去掉。
2、第一问题，PC掉线，是不是DHCP 地址获不到了，PC掉线，这个情况要查一下。
3、确定网络里没有ARP 病毒
4、第二问题，SSH 的对外映射就是ip nat inside source static tcp 192.168.0.13 22 115.236.75.XX 22 extendable,查一下服务器22开了没有
助理工程师
1，去掉ip route 192.168.0.0 255.255.255.0 192.168.0.2 数据无法返回&&这个当回程路由做的
2，ARP病毒无，已经检查过了
3，192.168.0.13电脑22是开启的，内部也可以SSH登陆，
现在问题是我想知道路由和交换是没必要做SSH，只需要在路由上做内对外的隐射不就可以了么？
吊线问题还是无法理解.....
简单说一下我的习惯，除非必要，我对ssh，telnet等都是采用外部端口和内部不一致的，这样可以在很大程度上减少被攻击的可能性
dhcp做在1841上不是更好么，而且可以查询arp表项，查询日志是否出现arp病毒
ip route 192.168.0.0 255.255.255.0 192.168.0.2&&这条没必要
ip nat pool NAT 115.236.75.XX 115.236.75.XX netmask 255.255.255.252 我没看错配置的话，只有一个IP分配给你，那么加这条有何用处呢？
另外我很疑惑：你的lan口ip已经是192.168.0.1/24了，还要什么回程路由？你不是在做跨网段的静态路由！如果我没猜错的话，192.168.0.2是2960的管理ip吧，这样的话，pc的数据是先发到2960，然后通过2960的缺省路由到1841，是否兜了一个圈呢？
积极参与讨论
掉线问题查一下是否arp病毒；
1、本网络是否可以ssh
2、本机是否加路由到你nat的路由器了
3、nat的时候全局地址改一个虚拟地址吧
比如ip nat inside source static tcp 192.168.0.13 22 虚拟地址 8022&&extendable
当然对方也要添加到虚拟地址的路由
第二问题，SSH 的对外映射，还是检查logging ，show ip nat translat, debug ip nat
助理工程师
路由口内网0。1 交换是0。2&&我要做回程是因为数据走交换出来后 要到一个24口的TPLINK交换机，就是一大点的HUB。 不做回程数据只出不回。
现在最想的就是找到网络不稳定的原因
引用:原帖由 axiakun 于
15:54 发表
设备：CISCO&&以做NAT转换，DHCP在交换机上做，均开启TELNET，1841开启SSH内网可连接
环境：公司现有电脑50左右，其中固定IP配置的服务器5台，交换IP一个 路由IP一个 打印机IP一个。交换上DHCP缺省保留192.168.0.1-192.16 ... 掉线问题是不是IP虚拟分片重组的问题？把ip virtual-reassembly NO掉试试
忘了说了 还有192.168.0.0这条路由是路由器直连路由，不用做回路。。。
本帖最后由 drakepig 于
14:39 编辑
助理工程师
IP虚拟分片重组?? 复杂，，，不是很理解
ip virtual-reassembly NO？&&查查资料什么意思这个是:lol
不知道1841发支持不支持端口重定向。你路由如果开着ssh的话，需要重新定向到外网的某个端口查看:7768|回复：33
助理工程师
ROUTER的S0接口连接INTERNET
F0/0接口连接LAN
下面我们来看一下具体的配置（XIAOBAI）
interface serial 0
ip address 202.106.0.20 255.255.255.0& &(wan)
interface fastethernet 0/0
ip address 10.1.1.1 255.255.255.0& &(lan)
access-list 10 permit 202.106.0.21
ip nat pool blance 10.1.1.2 10.1.1.4 prefix-length 24 type rotary(循环类型)
ip nat inside destination list 10 pool blance
interface serial 0
ip nat outside
interface f0/0
ip nat inside
10.1.1.2-10.1.1.4是3台WEB的IP
(576.05 KB)
本帖最后由 micro.pki 于
09:56 编辑
积分42143&
资深技术总监
天也空，地也空，人生渺渺在其中；
日也空，月也空，东升西坠为谁功；
金也空，银也空，死后何曾在手中；
妻也空，子也空，黄泉路上不相逢；
权也空，名也空，转眼荒郊土一封。
助理工程师
少还是可以的。。。。但这种配制不能自动判断池中服务器是否工作。。。。。要想全自动的还是要本地导向器。。当然是要MONEY买的~
资深技术经理
呵呵~&&学习！
好好学习，天天向上！
提示: 作者被禁止或删除 内容自动屏蔽
初级工程师
助理工程师
引用:原帖由 iangin 于
09:23 发表
老师，我觉得如果在与server连接的三层交换机上设置负载均衡(slb)是不是好一些？
& & 3550(config)# ip slb serverfarm sf(群名)
& & 3550(config-slb-sfarm)# real 10.1.1.2
& & 3550(config-slb-sfarm)# i ... 如果这个过程没问题的话 应该比使用路由要好的多
速度会快很多&&性能也就上去了
初级工程师
引用:原帖由 iangin 于
09:23 发表
老师，我觉得如果在与server连接的三层交换机上设置负载均衡(slb)是不是好一些？
& & 3550(config)# ip slb serverfarm sf(群名)
& & 3550(config-slb-sfarm)# real 10.1.1.2
& & 3550(config-slb-sfarm)# i ... 这个方法显然比楼主介绍的方法要更好一些...不过，在交换机上面实现的功能可能会小一些...
初级工程师
支持下……………………
很好，支持！
助理工程师
很好，支持！
中级工程师
没有设备呀.真是的什么也不能去试.我太可怜了.
想找個︷安靜の角落оメ゛靜靜dē ﹏..整理ヽ﹏ゞ零亂dē思緒⌒゛┆ 我假装坚强゛罒其實我-.∝輸不起〆
支持一下！
助理工程师正在初始化报价器asa防火墙配置要怎么设置3个回答wsh03048网络部分设置
asa(config)#nat(inside)
192.168.1.1
255.255.255.0
asa(config)#global(outside)
222.240.254.193
255.255.255.248
asa(config)#nat
192.168.1.1
255.255.255.255
//表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global
133.1.0.1-133.1.0.14
//定义的地址池
asa(config)#nat
0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
iswpalu37850Cisco PIX/ASA 7.x 防火墙透明模式下的配置
cisco PIX/ASA防火墙7.0以上版本支持透明配置。在进行透明配置之前需要下载CISCO PIX 7.0以上版本并升级IOS.其升级过程比较简单.
在透明模式下,防火墙只能使用两个端口,也就是不能配置DMZ区.在透明模式下,不需要对每个接口配置IP地址,只需要配置一个管理地址. 管理地址必须与所在内部网络在同一个网段.
透明配置模式下不支持NAT地址转换、IPV6、动态路由选择协议、DHCP中继、多播、QoS。因此透明配置模式下适合于不需要改变当前所在内网的网关设置，不需要NAT地址转换的环境。
简单配置命令:
1.fireware transparent 使防火墙在透明配置模式下
2.ip address admin_address mask 配置防火墙的管理地址.
3.route outside 0 0 gateway_address 设置默认路由,这里的 gateway_address 指路由器的默认网关．
CA0046asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
ASA防火墙配置DMZ的接口,名字是dmz，安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 //表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定义的地址池
asa(config)#nat (inside) 1 0 0 //0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
配置静态路由
asa(config)#route outside 0 0 133.0.0.2 //设置默认路由 133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
asa(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ;静态NAT
asa(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ;静态NAT
asa(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ;静态NAT
如果内部有服务器需要映射到公网地址(外网访问内网)则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //后面的10000为限制连接数，10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2设置ACL
asa(config)#access-list 101设置ACL
asa(config)#access-group 101 i将ACL应用在outside端口
当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。
当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的IP，到外部去找。
当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static是双向的。
PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
以上的相关内容就是对思科ASA防火墙配置的介绍，望你能有所收获。
热门问答123456789101112131415161718192021222324252627282930相关问答3个回答大白小短腿cisco防火墙配置这种好：首先你要配置一下全局的NAT，然后配置策略，方向是inside-&outside，源是any，目标是any，最后别忘了在核心交换机和防火墙上各加一个默认...3个回答五一泽聆听力1右键“我的电脑”打开管理 2.“点击服务和应用程序”，双击右边的“服务” 3.找到“Windows Firewall/Internet Connection Sharing (I...3个回答朱雀奥哒曼你好，用Vlan，把端口加入到vlan
int g0/0/0
portswitch
port link-type access
int ...3个回答shuwqo0232h3c防火墙配置命令如下：
Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户
Aaa-serv...3个回答akanishixjj华为硬件防火墙配置方法是：
1右键“我的电脑”打开管理 。
2.“点击服务和应用程序”，双击右边的“服务”
3.找到“Windows Firewall/Inter...3个回答koaec1726依次单击“开始→控制面板”，然后在控制面板经典视图中双击“Windows防火墙”一项，即可打开Windows防火墙控制台。此外，还可以在SP2新增加的安全中心界面下，点击“Wind...3个回答QQ_哎呀呀你好，先去看看计算机网络，主要还是要看思科，ccna，ccnp，ccie先从ccna开始看，还要再去下个模拟器，最好是gns3平时多练练。
3个回答soufunpa811585第一步：建立一个地址池
远程访问客户端需要在登录期间分配一个IP地址，所以我们还需要为这些客户端建立一个DHCP地址池，不过如果你有DHCP服务器，还可以使用DHCP服务器。...3个回答wsh03048网络部分设置
asa(config)#nat(inside)
192.168.1.1
255.255.255.0
asa(config)...3个回答小颜525mNz而且你Firewall内外接口的IP都不一样，在没有路由的情况下，你如何互访。其次，为什么你的路邮器下面除了Firewall以外，还有其它电脑。难道这些电脑是为了让外部网络可能访问...最有前景的十大行业:求助大神，思科ASA5505 怎么禁止内网互访问题 - 思科技术论坛
- 香港马会正版四不像必中一肖(www.zhumao168.com)
查看:937|回复：35
助理工程师
香港马会正版四不像必中一肖 www.zhumao168.com
思科ASA5505一台，下面没有接任何交换机之类的，0口是外网，1到7口是PC和AP之类的，1到7口在同一个VLAN下面，IP网段都是一样的，现在需求就是禁止2台PC互访，写了ACL没有作用。
================配置如下======================
ASA Version 9.2(4)
hostname ciscoasa
enable password gF0SFoq2mJicUHNa encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
interface Ethernet0/0
description ADSL
switchport access vlan 999
interface Ethernet0/1
switchport access vlan 666
interface Ethernet0/2
switchport access vlan 666
interface Ethernet0/3
switchport access vlan 666
interface Ethernet0/4
switchport access vlan 666
interface Ethernet0/5
switchport access vlan 666
interface Ethernet0/6
switchport access vlan 666
interface Ethernet0/7
switchport access vlan 666
interface Vlan666
nameif inside
security-level 100
ip address 172.31.255.254 255.255.255.0
interface Vlan999
nameif outside
security-level 0
pppoe client vpdn group ADSL
ip address pppoe setroute
ftp mode passive
object network NAT
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging enable
logging timestamp
logging buffer-size 1048576
logging console informational
logging buffered debugging
logging trap debugging
logging debug-trace
mtu inside 1500
mtu outside 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
object network NAT
nat (inside,outside) dynamic interface
access-group icmp in interface outside
access-group inside-deny-outside out interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication serial console LOCAL
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint _SmartCallHome_ServerCA
no validation-usage
crl configure
crypto ca trustpool policy
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5acebcf4e952d491
telnet 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 outside
telnet timeout 5
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 30
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
vpdn group ADSL request dialout pppoe
vpdn group ADSL localname 0000
vpdn group ADSL ppp authentication pap
vpdn username 00000 password ***** store-local
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username 0000 password gyV9IdyqUrZyPeTu encrypted privilege 15
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
&&message-length maximum client auto
&&message-length maximum 512
policy-map global_policy
class inspection_default
&&inspect dns preset_dns_map
&&inspect ftp
&&inspect h323 h225
&&inspect h323 ras
&&inspect ip-options
&&inspect netbios
&&inspect rsh
&&inspect rtsp
&&inspect skinny&&
&&inspect esmtp
&&inspect sqlnet
&&inspect sunrpc
&&inspect tftp
&&inspect sip&&
&&inspect xdmcp
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
profile CiscoTAC-1
&&no active
&&destination address http
&&destination address email
&&destination transport-method http
&&subscribe-to-alert-group diagnostic
&&subscribe-to-alert-group environment
&&subscribe-to-alert-group inventory periodic monthly
&&subscribe-to-alert-group configuration periodic monthly
&&subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:b55d724d00b86a37cc9cc2a4
思科技术论坛版主
ACL呢？配置里没有啊，你得说明白想禁止那两台主机互访，如果同一网段肯定是不行的，因为流量不会过防火墙的。
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
16:15 发表
ACL呢？配置里没有啊，你得说明白想禁止那两台主机互访，如果同一网段肯定是不行的，因为流量不会过防火墙的。 是同一网段的，不行？那有什么好的方案？把他们放不能网段里？
思科技术论坛版主
引用:原帖由 qqboo123 于
16:35 发表
是同一网段的，不行？那有什么好的方案？把他们放不能网段里？ 如果网关不在同一个网段，且网关都放在防火墙上，可以的。
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
16:39 发表
如果网关不在同一个网段，且网关都放在防火墙上，可以的。 不在同一个网段里默认就是不互通的，可以通过ACL让其它一个IP互通吗？
思科技术论坛版主
引用:原帖由 qqboo123 于
17:03 发表
不在同一个网段里默认就是不互通的，可以通过ACL让其它一个IP互通吗？ 可以的
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:06 发表
可以的 我刚刚配了2个VLAN，也配了2条命令：
ciscoasa(config)# same-security-traffic permit inter-interface
ciscoasa(config)# same-security-traffic permit intra-interface
但是2个vlan不能互访，不知道哪里不对。。。
思科技术论坛版主
引用:原帖由 qqboo123 于
20:17 发表
我刚刚配了2个VLAN，也配了2条命令：
ciscoasa(config)# same-security-traffic permit inter-interface
ciscoasa(config)# same-security-traffic permit intra-interface
但是2个vlan不能互访，不知道哪里不对。。。 ... 两个vlan的安全级别一样吗，其中任意一个vlan调用了访问控制列表吗？
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:18 发表
两个vlan的安全级别一样吗，其中任意一个vlan调用了访问控制列表吗？ 安全级别一样，都是100，没有调用，要写ACL吗？
思科技术论坛版主
引用:原帖由 qqboo123 于
20:22 发表
安全级别一样，都是100，没有调用，要写ACL吗？ 应该可以访问的，你是不是用ping测试的？
网络工程师
思科技术论坛版主
引用:原帖由 菠萝味咖啡 于
20:26 发表
应该可以访问的，你是不是用ping测试的？ policy-map global_policy
class inspection_default
&&inspect icmp
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:27 发表
policy-map global_policy
class inspection_default
&&inspect icmp 是的，我ping不通。
本帖最后由 qqboo123 于
20:36 编辑
助理工程师
引用:原帖由 菠萝味咖啡 于
20:27 发表
policy-map global_policy
class inspection_default
&&inspect icmp inspect icmp 没有这条命令。。。
思科技术论坛版主
引用:原帖由 qqboo123 于
20:32 发表
inspect icmp 没有这条命令。。。 这是三条命令，要依次执行。
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:37 发表
这是三条命令，要依次执行。 policy-map global_policy
class inspection_default
&&inspect dns preset_dns_map
&&inspect ftp
&&inspect h323 h225
&&inspect h323 ras
&&inspect ip-options
&&inspect netbios
&&inspect rsh
&&inspect rtsp
&&inspect skinny&&
&&inspect esmtp
&&inspect sqlnet
&&inspect sunrpc
&&inspect tftp
&&inspect sip&&
&&inspect xdmcp
&&inspect icmp
还是ping 不通。。。
思科技术论坛版主
引用:原帖由 qqboo123 于
20:41 发表
policy-map global_policy
class inspection_default
&&inspect dns preset_dns_map
&&inspect ftp
&&inspect h323 h225
&&inspect h323 ras
&&inspect ip-options
&&inspect netbios
&&inspect rsh
&&insp ... 两台主机写默认网关了吗？从防火墙ping两台主机能通吗
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:44 发表
两台主机写默认网关了吗？从防火墙ping两台主机能通吗 我是主机ping那个网关。。。
思科技术论坛版主
引用:原帖由 qqboo123 于
20:47 发表
我是主机ping那个网关。。。 上个show run吧
网络工程师
助理工程师
引用:原帖由 菠萝味咖啡 于
20:37 发表
这是三条命令，要依次执行。 我想建个新VLAN配个IP地址，用来做管理地址的，但是这个VLAN不划到接口下面就一直是down的，这是怎么回事？
思科技术论坛版主
引用:原帖由 qqboo123 于
20:51 发表
我想建个新VLAN配个IP地址，用来做管理地址的，但是这个VLAN不划到接口下面就一直是down的，这是怎么回事？ 进去配置上地址就应该up了
网络工程师}