Frage : Ausgaben pinging noch haben von einem Teilnetze zu anderen durch ASA 5510

Hallo ist alles, dieses im Hinweis auf einem vorhergehenden Pfosten hier: LINK

I morgens versuchend ping vom Wirt in meinem Netz 172.16 vorbei zu den Wirten auf ein 192.168.100.0 network

The Schnittstellen sind so:

Inside: 172.16.20.20
outside: 200.200.200.200
OTHER: 192.168.20.5

beyond die ANDERE Schnittstelle ist das 192.168.100.0-Teilnetz, dem ich sein muss anzuschließen zu und Klingeln von meinem inneren hosts.

I ping alles innerhalb von der ASA innerhalb der Schnittstelle (telnet) kann, gleichwohl meine Wirte nicht ping durch können.  Ich kann ping die innere Schnittstelle gerade fein von meinen Wirten.  

The Weg auf meiner ASA ist hinzugefügt worden und ist wie so:

route (ANDERES) 192.168.100.0 255.255.255.0 192.168.20.5 (Syntax kann falsch, aber die Wegarbeiten sein, wie ich ping 192.168.100.x von der ASA kann.  Bevor ich den Weg addierte, könnte ich nicht.  

Currently meine Zuganglisten werden eingestellt, um IP zu ermöglichen, das irgendwie innen auf der inneren Schnittstelle irgendein ist und das selbe auf dem ANDEREN interface.

The Sicherheitsniveau auf der ANDEREN Schnittstelle und den inneren Schnittstellen sind beide 100.

I haben versucht, nationale Steuerung einzuschalten und statisches (nach innen, ANDERES) 172.16.20.0 172.16.20.0 und das zu gründen scheint zu arbeiten, aber, wenn ich den Paketindikator laufen lasse, ich kann eine NAT-Übersetzung nicht von der ANDEREN Schnittstelle an inside.

So im Allgemeinen gelangen: statisches (nach innen, ANDERES) 172.16.20.0 172.16.20.0 netmask 255.255.254.0
and: nationales (nach innen) 0 interface

However, da ich alles auf dem gleichen Sicherheitsniveau habe, nehme ich an, dass meine ACL nicht verwendet werden, und ich sollte muss NAT nichts.  So, wenn ich NAT-Steuerung abstelle, kann ich ping nicht nichts, aber wieder, funktioniert es noch innerhalb der ASA.  Dieses ist, was mich denken lässt, dass dieses ein ACL issue.

Should ist, nicht, das ich IP lasse, das die ANDERE Schnittstelle in der Lage sein ping zum 192.168.100.0-Netz Auslands ist?
If sollte ich NATing tun, warum nicht es die Rückübersetzung erlaubt, wenn ich einen globalen NAT wie so verwende:

nat (nach innen) 1 172.16.20.x
global (ANDERES) 1 interface

I haben das oben genannte versucht und es funktioniert, damit meine Wirte, aber wieder, die Paketindikatorerscheinen keine Übersetzung ping, wenn ich die Spur von ANDEREM laufen lasse: SRC: 192.168.100.2 zu 172.16.20.1 und von ANDEREM: SRC: 192.168.20.1 172.16.20.1

I zur Hoffnung, der ich genügend Info auf diesem zur Verfügung gestellt habe.  Wieder kann ich meine gegenwärtigen Config bekannt geben, aber es wird an der Oberseite verbunden, und im Augenblick habe ich alle nationalen Aussagen und abgestellte Nationalsteuerung und morgens herausgenommen, IP irgendein erlaubend zu irgendwelchen auf meinen ACL und meinem Zugangsgruppen Punkt innen auf der inneren Schnittstelle und ANDERER Schnittstelle.  Wenn ich etwas falsch auf NAT'ing dann tue, bitte mich lassen know.

LRMoore, wenn Sie innen auf diesem läuten konnten dann, das ehrfürchtig sein würde.  Ich nicht durchaus erhielt Ihren Pfosten in meiner letzten Frage.  

Thanks im Voraus für Ihr help.

Antwort : Ausgaben pinging noch haben von einem Teilnetze zu anderen durch ASA 5510

Die Befehl Zugangliste NAT-0 verursacht Verkehr, der die Zugangliste zusammenbringt, um unübersetztes durchzulaufen

Sie müssen nur die Aussage NAT-0 auf einem der Paare der Schnittstellen haben, damit es in beiden Richtungen arbeitet. Die Sicherheitsniveaus, die zum Tief hoch sind, erlauben Verkehr in dieser Richtung (von Höhe zu Tief) ohne die Notwendigkeit an der granulierteren Zugangliste, obgleich sie selbstverständlich benutzt werden können, um Höhe zu mit geringem Verkehrsaufkommen zu steuern. Tief zur Höhe erfordert einen ACL, Verkehr zu ermöglichen.

So haben Sie 3 Sachen, weiterzugehen -
NAT 0 - verwendet, um national abzustellen, wo es nicht erforderlich ist
Sicherheits-Niveaus -, die zum Tief hoch sind, die Erlaubnis gehabt
ACL - verwendet, um granuliertere Steuerung der Höhe zu mit geringem Verkehrsaufkommen zur Verfügung zu stellen, wo erforderlich und, Steuerung des Verkehrs von Tief zu Höhe zur Verfügung zu stellen