Cisco-ASA 5505を正しく設定できない

私は2日間この場所にいて、ASA-5505を構成するまで、数え切れないほどのフォーラムやチュートリアルに参加しています。ASAからのpingを使用していても、インターネットにアクセスできません。ネットワーク上でASAを「見る」ことができません。基本的に、コンソール以外のハードウェアの死体です。私のモデムもブリッジモードに設定されています。これは私が従ったチュートリアルです：ここ ..次にどこへ行くかわからない..「外部」VLANが誤って構成されているようであり、私は非常に多くの浸透を試みたので、何か大きなことを見落としていることは明らかです。ASAから8.8.8.8にpingできると、幸せになります。

Comcastの設定は次のとおりです。

Gateway MAC Address           78:CD:8E:D9:FB:34
WAN MAC Address               78:CD:8E:D9:FB:37
WAN DHCP IP Address           50.135.170.116
WAN DHCP IPv6 Address         ::/64
WAN DHCP IPv6 DNS (primary)   ::
WAN DHCP IPv6 DNS (secondary) ::
WAN DHCP Subnet Mask          255.255.254.0
WAN DHCP Default Gateway      50.xx.xx.1
WAN Internet IP Address       74.xx.xx.230
DNS (primary)                 75.75.75.75
DNS (secondary)               75.75.76.76
DHCP Time Remaining           92h:42m:22s
Internal Gateway IP Address   10.1.10.1
Internal Subnet Mask          255.255.255.0
INTERNAL DHCP                 DISABLED

これが私のASA設定です：

ASA Version 8.2(5)
!
hostname DTS-ASA
enable password xxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxx encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.1.10.100 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 74.xx.xx.230 255.255.255.248
!
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 10.1.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 74.xx.xx.230 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username cisco password ZBZ8GNEdrJsjFvsR encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
 service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:86f051cb52af3d343c52cf1a222c6901
: end

私が言ったリンク、私はおそらく重要で明白な何かを見逃しているでしょうが、開発のバックグラウンドネットワーキングを持つことはやや異質な概念です。

cisco cisco-asa firewall

— ザック
ソース

実行中の構成は、デフォルトルートroute outside 0.0.0.0 0.0.0.0 74.xx.xx.230 1が外部インターフェイスと同じIPアドレスを使用している可能性があることを示していますip address 74.xx.xx.230 255.255.255.248

— one.time

彼らがあなたに与えた「Comcast」設定の詳細、またはComcastのCPEデバイスからの構成ですか？後者の場合、ASAの内部ではなく、外部インターフェイスで10.1.10.100/24サブネットを使用する必要があります。内部の新しいサブネットを選択します。

— YLearn

まず、ComcastデバイスとASAの74.xx230アドレスが重複しているようです。

— generalnetworkerror 2013

回答:

「外部」のVLANは誤って構成されているようであり、私は非常に多くの浸透を試みたので、私は何かメジャーで見過ごされていることを確信しています。ASAから8.8.8.8にpingできると、私は幸せになります！

基本構成

他の人が述べたように、あなたの設定は「準最適」です... ~~あなたが持って~~いる最大の問題は~~、外部VLANインターフェースでDHCPを使用していないことです~~最大の問題は、デフォルトのgwアドレスがVlan2に割り当てられていることです...回復するために、コンソールにログインして...

copy runn flash:foobar.cfg
config t
configure factory-default 10.1.10.100 255.255.255.0

あなたが設定モードにいる間、この設定を使用してください...

hostname DTS-ASA
password ChangeMeNow
enable password ChangeMeNow
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Vlan2
 ! I don't think you need this, since it's an SMC MAC addr
 ! However, this illustrates how you can manually change the mac
 ! on your outside Vlan, if Comcast is restricting you
 ! to one mac (and now refuses to change it)
 ! mac-address 78cd.8ed9.fb37
 nameif outside
 security-level 0
 ip address 74.xx.xx.225 255.255.255.248
!
route outside 0.0.0.0 0.0.0.0 74.xx.xx.230
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
end
wr mem

パスワードを変更してください：-）... fwルールが必要ですが、それは別の問題です

WAN検証

本当にComcastモデムがEth0 / 0に接続されていることを確認してください...稼働したら、次のようにComcastから取得したアドレスを確認できるはずです...

DTS-ASA# sh int vlan2
Interface Vlan2 "outside", is up, line protocol is up
  Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
        MAC address 0030.dead.beef, MTU 1500
        IP address 74.xx.xx.225, subnet mask 255.255.255.248     <------------
  Traffic Statistics for "outside":
        108703406 packets input, 119199091796 bytes
        69134254 packets output, 8083775282 bytes
        1654709 packets dropped
      1 minute input rate 2 pkts/sec,  280 bytes/sec
      1 minute output rate 3 pkts/sec,  414 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 3 pkts/sec,  716 bytes/sec
      5 minute output rate 4 pkts/sec,  520 bytes/sec
      5 minute drop rate, 0 pkts/sec
DTS-ASA#

次に、GoogleのDNSへのpingを確認します...

DTS-ASA# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/18/20 ms
DTS-ASA#

そうでない場合は、default-gwにpingできることを確認してください...

DTS-ASA# sh route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 74.xx.xx.230 to network 0.0.0.0

C    74.xx.xx.230 255.255.255.248 is directly connected, outside
C    10.1.10.0 255.255.255.0 is directly connected, inside
d*   0.0.0.0 0.0.0.0 [1/0] via 74.xx.xx.230, outside          <------
DTS-ASA#
DTS-ASA# ping 74.xx.xx.230

— マイク・ペニントン
ソース

詳細な説明をありがとうございます..私はこれを最初に試みて報告します..

— Zak

あなたが説明したように、私は私が受け取るしかし、グーグルのpingから、行っているNo route to host 8.8.8.8とGateway of last resort is not set の考えを..？10.1.10.100にpingを実行した場合と同じ結果

— Zak

DHCPからデフォルトを取得していません...アドレスを取得しますか？チャットでの議論を続けましょう

— マイクペニントン2013

マイナス...結果がsh int vlan2あるIP address unassigned

— ザック

-1

私は最近同じフェーズを通過しましたが、上記の構成の問題を探すことなく、何をしているのか手掛かりがなく、ASAをインターネットに接続したい場合に言いたいことが3つあります。

デバイスをデフォルトに復元します（おそらく多くの設定ミスがあります）コンソール接続タイプhttp 0.0.0.0 0.0.0.0 INSIDEとを使用http 0.0.0.0 0.0.0.0 OUTSIDEして、ASDMでASAにアクセスできるようにします
基本ライセンスを使用すると、2つのVLANが作成されます（一方がインターネットになり、もう一方がホームネットワーク側になります）デフォルトでは、復元を行うと、Int F0 / 0がインターネット側（VLAN 2）になり、それぞれのサブネットワーク情報がわかります。 VLAN。はい、それぞれ異なります。これを計算します。
ガイドタイプ0.0.0.0 0.0.0.0 XXXX（INTERNETMODEADDRESS、次のホップ）を使用してASAにデフォルトルートを作成します
外部インターフェイスでアクセスリストルールを作成して、ICMPの再接続を許可します。これを行わないと、8.8.8.8へのPINGが返信されません。

これが役立つと誰かが願っています。これは私の2日間の発見プロセスです。

— Dシン
ソース

0.0.0.0は「どれでも」という意味ではありません -それらは異なります！

— SamAndrew81