Pergunta : Ainda tendo edições sibilar de um subnet a outro através de ASA 5510

Olá! tudo, este está na referência a um borne precedente aqui: o href= " http://www.experts-exchange.com/Security/Software_Firewalls/Enterprise_Firewalls/Cisco_PIX_Firewall/Q_26341294.html " >LINK

I am do " _blank " " do target= do nofollow noindex do rel= do " do
The de 192.168.100.0 é como este:

Inside:
outside de 172.16.20.20:
OTHER de 200.200.200.200: o

beyond de 192.168.20.5 a OUTRA relação é o subnet de 192.168.100.0 a que eu preciso de poder conetar e o sibilo de meu hosts.

I pode sibilar tudo dentro do ASA dentro da relação (telnet), porém meus anfitriões não podem sibilar completamente.  Eu posso sibilar a relação interna apenas muito bem de meus anfitriões.  a rota do

The em meu ASA foi adicionada e é como assim:

route (OUTRO) 192.168.100.0 255.255.255.0 192.168.20.5 (a sintaxe pode ser incorreta, mas os trabalhos da rota como eu posso sibilar 192.168.100.x do ASA.  Antes que eu adicionei a rota eu não poderia.  o

Currently minhas acesso-lista é ajustado para permitir o IP algum dentro na relação interna e o mesmo no OUTRO nível de segurança de interface.

The na OUTRA relação e nas relações internas é ambos os 100. o

I tentou girar sobre o controle nat e setup (para dentro, OUTRO) 172.16.20.0 de estática 172.16.20.0 e de que parece trabalhar, mas quando eu funciono o tracer do pacote mim não pode começ uma tradução do NAT da OUTRA relação a inside.

So basicamente: (para dentro, OUTRO)
and de 255.255.254.0 do netmask de 172.16.20.0 172.16.20.0: (para dentro) os 0 interface

However, desde que eu tenho tudo no mesmo nível de segurança, eu supor que meus ACL não estão sendo usados, e eu não devo tenho que NAT qualquer coisa.  Assim quando eu desligo o controle do NAT, eu não posso sibilar qualquer coisa, mas outra vez, ainda trabalha dentro do ASA.  Este é o que me faz pensar que este é um ACL issue.

Should não que eu permito que a IP de partida a OUTRA relação possa sibilar à rede de 192.168.100.0? o
If eu devia fazer NATing, porque não permitirá a tradução reversa quando eu uso um NAT global como assim: o

nat (para dentro) 1 172.16.20.x
global (OUTRO) 1 interface

I tentou o acima e trabalha para que meus anfitriões sibilem, mas outra vez, as mostras do tracer do pacote nenhuma tradução quando eu funciono o traço de OUTRO: SRC: 192.168.100.2 a 172.16.20.1 e de OUTRO: SRC: 192.168.20.1 à esperança do

I de 172.16.20.1 que eu forneci bastante informação nesta.  Além disso, eu posso afixar meus config atuais, mas é lig na parte superior, e agora eu removi todas as indicações nat e nat-controle e am desligados permitindo IP algum a alguns em meus ACL e em meu ponto dos grupos de acesso dentro na relação interna e na OUTRA relação.  Se eu estou fazendo algo erradamente em NAT'ing então satisfazer deixar-me know.

LRMoore, se você poderia chime dentro neste então que seria impressionante.  Eu não começ completamente seu borne em minha última pergunta.  

Thanks adiantado para seu help.
class= do

Resposta : Ainda tendo edições sibilar de um subnet a outro através de ASA 5510

A acesso-lista do comando do NAT 0 causa o tráfego que combina a acesso-lista para atravessar untranslated

Você precisa somente de ter a indicação do NAT 0 em um dos pares de relações para que trabalhe em ambos os sentidos. Os níveis de segurança elevados ao ponto baixo permitem o tráfego nesse sentido (da elevação ao ponto baixo) sem a necessidade para uma acesso-lista mais granulada embora possam naturalmente ser usados para controlar a elevação ao baixo tráfego. O ponto baixo à elevação exige um ACL permitir o tráfego.

Assim você tem 3 coisas ir sobre -
NAT 0 - usado para desligar nat onde não é necessário
Níveis de segurança - elevados ao ponto baixo é permitido
ACL - usados para fornecer o controle mais granulado da elevação ao baixo tráfego onde necessário e para fornecer o controle do tráfego do ponto baixo à elevação