Вопрос : Все еще иметь вопросы pinging от одного подсеть к другим до ASA 5510

Hi все, это в ссылке на ранее столб здесь: href= " http://www.experts-exchange.com/Security/Software_Firewalls/Enterprise_Firewalls/Cisco_PIX_Firewall/Q_26341294.html " >LINK

I am " _blank " " target= nofollow noindex rel= "
The 192.168.100.0 как это:

Inside:
outside 172.16.20.20:
OTHER 200.200.200.200:

beyond 192.168.20.5 ДРУГАЯ поверхность стыка будет подсеть 192.168.100.0 мне нужно мочь соединиться к и Пинг от моего внутреннего hosts.

I может ping все изнутри ASA внутри поверхности стыка (telnet), тем ме менее мой хозяин не может ping до конца.  Я могу ping внутренняя поверхность стыка как раз отлично от моего хозяина.  трасса

The на моем ASA была добавлена и как так:

route (ДРУГОЕ) 192.168.100.0 255.255.255.0 192.168.20.5 (синтаксисом может быть неправильно, но работы трассы по мере того как я могу ping 192.168.100.x от ASA.  Прежде чем я добавил трассу я не smog.  

Currently мои доступ-списки установлено для того чтобы позволить ip любой нисколько внутри на внутренней поверхности стыка и эти же на ДРУГОМ уровне обеспеченностью interface.

The на ДРУГОЙ поверхности стыка и внутренних поверхностях стыка будут оба 100.

I имеют судимое для того чтобы повернуть дальше nat управление и кажется, что работает setup статическое (внутрь, ДРУГОЕ) 172.16.20.0 172.16.20.0 и то, но когда я бегу трейсер пакета я не может получить перевод NAT от ДРУГОЙ поверхности стыка к inside.

So основно: статическое (внутрь, ДРУГОЕ)
and 255.255.254.0 netmask 172.16.20.0 172.16.20.0: nat (внутрь) 0 interface

However, в виду того что я имею все на таком же уровне обеспеченностью, я полагаю что мои ACL не используются, и я NAT что-нибыдь.  Так когда я поворачиваю управление NAT, я не могу ping что-нибыдь, но снова, он все еще работает внутри ASA.  Это делает меня думать что это будет ACL issue.

Should не, котор я позволяю ip уходящий за границу ДРУГУЮ поверхность стыка мочь ping к сети 192.168.100.0?
If я должны был сделать NATing, почему он не позволит обратный перевод когда я использую глобальный NAT как так:

nat (внутрь) 1 172.16.20.x
global (ДРУГОЕ) 1 interface

I имеет судимо вышеуказанное и оно работает для моего хозяина для того чтобы ping, но снова, выставки трейсера пакета никакой перевод когда я бегу след от ДРУГОГО: SRC: 192.168.100.2 к 172.16.20.1 и от ДРУГОГО: SRC: 192.168.20.1 к упованию

I 172.16.20.1 я обеспечивал достаточный info на этом.  Опять, я могу вывесить мои в настоящее время config, но они соединены на верхней части, и право теперь я принимал вне все nat заявления и повернутые nat-управление и am позволяющ ip любое к любым на моих ACL и моем пункте групп доступа и внутри на внутренней поверхности стыка и ДРУГОЙ поверхности стыка.  Если я делаю что-то неправильно на NAT'ing после этого, то угодите препятствуйте мне know.

LRMoore, если вы smogли выбивать внутри на этом после этого, то которое было бы внушительно.  Я довольно не получил ваш столб в моем последнем вопросе.  

Thanks заранее для вашего help.
class=

Ответ : Все еще иметь вопросы pinging от одного подсеть к другим до ASA 5510

Доступ-список командование NAT 0 причиняет движение сопрягает доступ-список для того чтобы пойти через untranslated

Вам только нужно иметь заявление NAT 0 на одной из пар поверхностей стыка для того НОП она, котор нужно работать в обоих направлениях. Уровни обеспеченностью высокие к низкому уровню позволяют движение в том направлении (от максимума к низкому уровню) без потребности для более зернистого доступ-списка хотя их можно конечно использовать для того чтобы контролировать максимум к низкому движению. Низкий уровень к максимуму требует, что ACL позволяет движение.

Так вы имеете 3 вещи пойти дальше -
NAT 0 - используемый для того чтобы повернуть nat где он не необходим
Уровни обеспеченностью - высокие к низкому уровню позволяет
ACL - используемые для того чтобы снабдить более зернистое управление максимума низкое движение где необходимо и снабдить управление движения от низкого уровня максимум