提前感谢您的帮助。我遇到了一个问题,我们正在从 ASA 5505 迁移到 ASA 5510,而且软件版本也有很大差异,因此它们处理 VLAN 的方式也不同。
5505(SW 版本 8.0(3))配置有一个内部和外部接口,其中内部接口没有 IP 地址,但可以访问 VLAN 1、201-202、204、207。唯一分配了 IP 的 VLAN 是 VLAN1,其他 VLAN 没有分配 IP。此设备上的 VLAN 之间可以进行通信。
在 5510(SW 版本 8.2(1))配置中,我尽可能地复制了 5505 的配置,因为软件存在差异。唯一不容易转换的是 VLAN 配置,因为在此设备/软件版本中,它们的处理方式完全不同。我最终使用 eth0/1 为每个 VLAN 创建子接口,因此配置的这一部分如下所示:
接口以太网0/1速度100全双工无nameif安全级别100无ip地址!接口以太网0/1.1 vlan 1 nameif内部安全级别100 ip地址10.18.215.1 255.255.255.128!接口以太网0/1.201 vlan 201 nameif VLAN201安全级别100无ip地址!接口以太网0/1.202 vlan 202 nameif VLAN202安全级别100无ip地址!接口以太网0/1.204 vlan 204 nameif VLAN204安全级别100无ip地址!接口以太网0/1.207 vlan 207 nameif VLAN207安全级别100无ip地址
我还启用了配置了相同安全级别的两个或多个接口之间以及连接到同一接口的两个或多个主机之间的流量。
我还为 VLAN 设置了所有适当的 NAT,以便 VLAN 之间可以相互通信,并建立了指向旧 5505 asa 上的路由的准确位置的路由,并确保该路由可以从设备访问。所以从理论上讲,我似乎已经做好了一切准备。
我的问题在于我无法在 VLAN 之间通信。我通过将笔记本电脑插入交换机(正确配置了所有 VLAN 等......)并为其提供 204 VLAN 上的 IP 进行测试,我无法在 VLAN 1 上 ping 设备的 IP。我尝试在 ASA 上从 VLAN 204 到 VLAN 1 进行数据包捕获,它会在 VLAN 204 上的隐式拒绝 ACL 处丢弃数据包。我在这里不知所措,希望有人能帮助我。我已经链接了我略微删减过的 ASA 5510 配置。提前感谢大家的努力!