Question : Avoir toujours des issues cingler d'un filet inférieur à l'autre par asa 5510

Salut tout, ceci est dans la référence à un poteau précédent ici : le href= " http://www.experts-exchange.com/Security/Software_Firewalls/Enterprise_Firewalls/Cisco_PIX_Firewall/Q_26341294.html " >LINK

I AM de " _blank " de target= de " nofollow " de noindex de rel= de
The de 192.168.100.0 sont comme ceci :

Inside :
outside de 172.16.20.20 :
OTHER de 200.200.200.200 : le

beyond de 192.168.20.5 l'AUTRE interface est le filet inférieur de 192.168.100.0 au lequel je dois pouvoir se relier et le cinglement de mon hosts.

I peut cingler tout de l'asa à l'intérieur de l'interface (telnet), toutefois mes centres serveurs ne peuvent pas cingler à travers.  Je peux cingler l'interface intérieure juste très bien de mes centres serveurs.  l'itinéraire du

The sur mon asa a été ajouté et est comme ainsi :

route (AUTRE) 192.168.100.0 255.255.255.0 192.168.20.5 (la syntaxe peut être incorrecte, mais les travaux d'itinéraire comme je peux cingler 192.168.100.x de l'asa.  Avant que j'aie ajouté l'itinéraire je ne pourrais pas.  le

Currently mes accès-listes sont placés pour permettre l'IP tout dedans sur l'interface intérieure et le même à l'AUTRE niveau de sécurité d'interface.

The sur l'AUTRE interface et les interfaces intérieures est les deux 100. le

I a essayé d'allumer la commande nationale et installer (à l'intérieur, AUTRE) 172.16.20.0 statique 172.16.20.0 et celui semble fonctionner, mais quand je cours le traceur de paquet je ne peut pas obtenir une traduction de NAT de l'AUTRE interface à inside.

So fondamentalement : (à l'intérieur, AUTRE)
and de 255.255.254.0 de netmask de 172.16.20.0 172.16.20.0 : (à l'intérieur) les 0 interface

However, puisque j'ai tout au même niveau de sécurité, je suppose que mes ACL ne sont pas employés, et je ne devrais pas dois NAT quelque chose.  Ainsi quand j'arrête la commande de NAT, je ne peux cingler rien, mais encore, cela fonctionne toujours dans l'asa.  C'est ce qui m'incite à penser que c'est un ACL issue.

Should pas que je permets IP en partance à l'AUTRE interface de pouvoir cingler au réseau de 192.168.100.0 ? le
If je devais faire NATing, pourquoi il ne permettra pas la traduction renversée quand j'emploie un NAT global comme ainsi : le

nat (à l'intérieur) 1 172.16.20.x
global (AUTRE) 1 interface

I ont essayé ce qui précède et cela fonctionne pour que mes centres serveurs cinglent, mais encore, les expositions de traceur de paquet aucune traduction quand je cours la trace d'AUTRE : SRC : 192.168.100.2 à 172.16.20.1 et d'AUTRE : SRC : 192.168.20.1 à l'espoir du

I de 172.16.20.1 que j'ai fourni assez d'information sur ceci.  Encore, je peux signaler mes config courantes, mais elle est liée au dessus, et en ce moment j'en ai sorti tous les rapports nationaux et arrêtés national-commande et AM permettant IP à sur mes ACL et mon point de groupes d'accès dedans sur l'interface intérieure et TOUTE AUTRE interface.  Si je fais quelque chose mal sur NAT'ing puis veuillez me laisser know.

LRMoore, si vous pourriez sonner dedans sur ceci puis qui serait impressionnant.  Je n'ai pas tout à fait obtenu votre poteau en ma dernière question.  

Thanks à l'avance pour votre help.
class= de

Réponse : Avoir toujours des issues cingler d'un filet inférieur à l'autre par asa 5510

L'accès-liste de commande de NAT 0 cause le trafic qui assortit l'accès-liste pour passer par non traduit

Vous devez seulement avoir le rapport de NAT 0 sur une des paires d'interfaces pour qu'elle travaille dans les deux directions. Les niveaux de sécurité élevés au bas permettent le trafic dans cette direction (de haut en bas) sans besoin d'accès-liste plus granulaire bien qu'ils puissent naturellement être employés pour commander la haute à à faible trafic. Le bas à la haute exige d'un ACL de permettre le trafic.

Ainsi vous avez 3 choses continuer -
NAT 0 - employé pour s'éteindre national où il n'est pas nécessaire
Niveaux de sécurité - élevés au bas est autorisé
ACL - employés pour fournir une commande plus granulaire de haute à à faible trafic où nécessaire et pour fournir la commande du trafic du bas à la haute