Vraag : Nog hebbend kwesties die van één subnet aan een andere door ASA 5510 pingelen

Hallo is allen, dit hier in verwijzing naar een vorige post: LINK

I am van gastheer op mijn netwerk 172.16 over aan gastheren op een 192.168.100.0 network

The proberen te pingelen is als dit:

Inside: 172.16.20.20
outside: 200.200.200.200
OTHER: 192.168.20.5

beyond de ANDERE interface 192.168.100.0 subnet ik moet is waarkunnen verbinden met en ping van mijn binnenhosts.

I alles van binnen ASA binnen interface (Telnet) kan pingelen, nochtans kunnen mijn gastheren niet door pingelen.  Ik kan de binneninterface enkel boete van mijn gastheren pingelen.  de route

The op mijn ASA is toegevoegd en geweest als zo:

route (ANDERE) 192.168.100.0 255.255.255.0 192.168.20.5 (de syntaxis kan onjuist zijn, maar de route werkt aangezien ik 192.168.100.x van ASA kan pingelen.  Alvorens ik de route toevoegde kon ik niet.  

Currently wordt mijn toegang-lijsten geplaatst aan vergunning ip om het even welke om het even welk in op de binneninterface en het zelfde op het ANDERE interface.

The veiligheidsniveau op de ANDERE interface en de binneninterfaces zijn beide 100.

I hebben geprobeerd om nationaal controle en opstelling aan te zetten statisch (binnen, ANDERE) 172.16.20.0 172.16.20.0 en dat schijnt te werken, maar wanneer ik de pakkettraceur in werking stel kan ik geen NATIONAAL vertaling van de ANDERE interface aan inside.

So fundamenteel worden: statisch (binnen, ANDERE) 172.16.20.0 172.16.20.0 netmask 255.255.254.0
and: nationaal (binnen) 0 interface

However, aangezien ik alles op het zelfde veiligheidsniveau heb, veronderstel ik dat mijn ACL niet worden gebruikt, en ik zou niet aan NATIONAAL moeten hebben om het even wat.  Zo wanneer ik NATIONAAL controle uitzet, kan ik niet om het even wat pingelen, maar opnieuw, werkt het nog binnen ASA.  Dit is wat me maakt denken dat dit ACL issue.

Should is niet ik uitgaand ip de ANDERE interface aan het 192.168.100.0 netwerk toesta kunnen pingelen?
If ik NATing moest doen, waarom het niet de omgekeerde vertaling zal toestaan wanneer ik zo globale NATIONAAL als gebruik:

nat (binnen) 1 172.16.20.x
global (ANDERE) 1 interface

I hebben geprobeerd bovengenoemd en het werkt voor mijn gastheren om te pingelen, maar opnieuw, toont de pakkettraceur geen vertaling wanneer ik het spoor van ANDERE in werking stel: SRC: 192.168.100.2 aan 172.16.20.1 en van ANDERE: SRC: 192.168.20.1 aan 172.16.20.1

I hoop dat ik genoeg info op dit heb verstrekt.  Opnieuw, kan ik mijn huidige config posten, maar het is verbonden bij de bovenkant, en op dit ogenblik heb ik al nationaal verklaringen en uitgezette de nationaal-controle genomen en ip om het even welk aan om het even welk op mijn ACL toegestaan en mijn toegang groepeert zowel binnen punt op de binneninterface als ANDERE interface.  Als ik iets verkeerd op NAT'ing te laten toen doe gelieve me know.

LRMoore, als u klokkengelui binnen op dit toen kon die ontzagwekkend zou zijn.  Ik werd helemaal uw post in mijn laatste vraag niet.  

Thanks vooraf voor uw help.

Antwoord : Nog hebbend kwesties die van één subnet aan een andere door ASA 5510 pingelen

De NATIONAAL 0 bevel toegang-lijst veroorzaakt verkeer dat de toegang-lijst om door onvertaald aanpast te gaan

U moet slechts NATIONAAL verklaring hebben 0 over één van de paren interfaces opdat het in beide richtingen werkt. De niveaus van de veiligheid hoog tot laag staan verkeer in die richting (van hoogte aan laag) zonder de behoefte aan meer korrelige toegang-lijst toe hoewel zij natuurlijk kunnen worden gebruikt om hoogte aan met weinig verkeer te controleren. Laag aan hoogte vereist ACL om verkeer toe te laten.

Zo hebt u 3 dingen die gaan -
NATIONAAL 0 - gebruikt om nationaal uit te zetten waar het niet nodig is
De Niveaus van de veiligheid - Hoog tot Laag wordt toegelaten
ACL - wordt gebruikt om meer korrelige controle van Hoogte te verstrekken aan Met weinig verkeer waar nodig en controle van verkeer van Laag te verstrekken aan Hoogte die