Questione : Traffico di passaggio di Cisco asa 5505 (edizione possibile di ACL o di NAT)

Ho un'asa 5505 davanti a (7) dispositivi.  Ogni dispositivo è staticamente NAT'd ad un IP address esterno con ACLs che limita gli orificii specifici.  Questa messa a punto funziona perfettamente su ASAs con un singolo ospite dietro l'asa.  Sotto è un config del campione dell'asa.  Tutto l'aiuto notevolmente sarebbe apprezzato!
di 10.200.3.161 255.255.255.240 di IP address del sicurezza-livello 100
del inside
del nameif del

interface Vlan10
! il sicurezza-livello 0
del outside
del nameif del
interface Vlan300
consente-ssc-mgmt
di 172.21.3.74 255.255.0.0 di IP address di/>! accesso 300
dello switchport del
interface Ethernet0/0
! accesso 10
dello switchport del
interface Ethernet0/1
! accesso 10
dello switchport del
interface Ethernet0/2
! accesso 10
dello switchport del
interface Ethernet0/3
! accesso 10
dello switchport del
interface Ethernet0/4
! accesso 10
dello switchport del
interface Ethernet0/5
! accesso 10
dello switchport del
interface Ethernet0/6
!
object-group di 192.168.93.0 255.255.255.0 dell'rete-oggetto del
di 192.168.92.0 255.255.255.0 dell'rete-oggetto del
di 192.168.91.0 255.255.255.0 dell'rete-oggetto del
di 192.168.90.0 255.255.255.0 dell'rete-oggetto del
di 192.168.89.0 255.255.255.0 dell'rete-oggetto del
ospiti 10

same-security-traffic dello switchport del
interface Ethernet0/7
del permesso di inter-interface
same-security-traffic di accesso vecchio del permesso intra-interface
object-group di servizio di scrutinio del tcp
di descrizione di Poller
dell'orificio-oggetto del eq 2101
object-group di servizio Poll2 del tcp
di descrizione di scrutinio 20000
dell'orificio-oggetto del eq 20000
object-group di servizio DM_INLINE_SERVICE_1
dell'servizio-oggetto del ICMP del
dell'servizio-oggetto di tcp del eq 20000 del
object-group della rete di New_Hosts
di descrizione nuova di Hosts
dell'rete-oggetto ospite di 192.168.95.0 255.255.255.0 del
dell'rete-oggetto ospite di 192.168.96.0 255.255.255.0 del
dell'rete-oggetto ospite di 192.168.97.0 255.255.255.0 del
dell'rete-oggetto ospite di 192.168.98.0 255.255.255.0 del
object-group della rete descrizione esterna vlan di Old_Hosts
(sottoreti) il outside_access_in del
access-list del eq 20000 di tcp dell'servizio-oggetto del
del ICMP dell'servizio-oggetto di servizio DM_INLINE_SERVICE_2
di Old_Hosts
object-group dell'gruppo-oggetto di New_Hosts
dell'gruppo-oggetto del
di 192.168.79.0 255.255.255.0 dell'rete-oggetto del
di 192.168.201.0 255.255.255.248 dell'rete-oggetto della rete DM_INLINE_NETWORK_4
del
object-group di 192.168.201.0 255.255.255.248 dell'rete-oggetto del
di 192.168.79.0 255.255.255.0 dell'rete-oggetto di Old_Hosts
dell'gruppo-oggetto di New_Hosts
dell'gruppo-oggetto della rete DM_INLINE_NETWORK_1
ha esteso il ceppo di 172.21.3.64 ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_2 del permesso che mette a punto il ceppo di 172.21.3.65 esteso outside_access_in inattivo ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_1 del permesso del
access-list che mette a punto il ceppo di 172.21.3.66 esteso outside_access_in inattivo ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_1 del permesso del
access-list che mette a punto il ceppo di 172.21.3.67 esteso outside_access_in inattivo ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_1 del permesso del
access-list che mette a punto il outside_access_in del
access-list di ricerca degli errori del ceppo di 172.21.3.69 esteso outside_access_in inattivo ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del ICMP del permesso del
access-list il outside_access_in esteso del
access-list di ricerca degli errori del ceppo del eq 2101 di 172.21.3.69 ospite del oggetto-gruppo DM_INLINE_NETWORK_4 di tcp del permesso ha esteso il ceppo di 172.21.3.70 ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_1 del permesso che mette a punto il ceppo di 172.21.3.71 esteso outside_access_in inattivo ospite del oggetto-gruppo DM_INLINE_NETWORK_1 del oggetto-gruppo DM_INLINE_SERVICE_1 del permesso del
access-list che mette a punto il IP del permesso esteso inside_access_in inattivo del
access-list tutto il qualunque
global di ricerca degli errori del ceppo (all'esterno) 1 interface
nat (all'interno) 1
static di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.70 10.200.3.171 di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.69 10.200.3.170 di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.67 10.200.3.169 di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.66 10.200.3.168 di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.65 10.200.3.167 di 0.0.0.0 0.0.0.0 (all'interno, all'esterno) inside_access_in del
access-group di 255.255.255.255 del netmask del
static (all'interno, all'esterno) 172.21.3.64 10.200.3.174 di 255.255.255.255 del netmask di 172.21.3.71 10.200.3.172 nel outside_access_in del inside
access-group dell'interfaccia nel outside
route dell'interfaccia fuori di stabilizzare-controllo-traffic
del fiammifero del inspection_default
di 0.0.0.0 0.0.0.0 172.21.0.1 1
class-map!
! il tipo del
policy-map controlla il codice categoria che massimo del global_policy
del auto
policy-map del cliente di messaggio-lunghezza di massimo 512
di messaggio-lunghezza del parameters
del preset_dns_map
di dns il inspection_default
controlla il
del preset_dns_map di dns controlla il
del ftp controlla il
di h323 h225 controlla i ras h323 il
controlla il
di rsh controlla il
del rtsp controlla il
del esmtp controlla il
dello sqlnet controlla il
controlla il
del sunrpc controlla il
del xdmcp controlla il
della sorsata controlla il
di netbios controlla il
del tftp!
service-policy global_policy global
class= del

Risposta : Traffico di passaggio di Cisco asa 5505 (edizione possibile di ACL o di NAT)

se vostro stiano provando da 192.168.x.x, quindi dovete aggiungere un itinerario sull'asa

itinerario 192.168.x.x interno 255.255.x.x  

per per permettere ICMP

global_policy del politica-programma
 inspection_default del codice categoria
controllare il ICMP
Altre soluzioni  
 
programming4us programming4us