SW 與 ASA 問題
版上的大大們最近遇到一個問題,手上有台2960G SWITCH OS為12.2(44)SE6
在上面設了VLAN 2241分別在PORT1、port2而有個port帶trunk接asa為這網段的gateway
但發現Server1及Server2分別接在port1及port2時server1要連server2的80會不通
查看後它封包跑到了ASA皆被deny掉
變得在ASA上開ACL才能正常
但在同台SWITCH上不是應該就能直接互通嗎?為何會發生還要繞到Gateway再回去的問題?
是我那裡需調整嗎?還是這是cisco的bug嗎?
按正常情况,同一个VLAN的用户直接在SW上交换数据即可。
建议你tracert下,另外在正常和不正常的时候SW上show mac address-table看下mac地址和端口
绑定是否正常?
请给出更加详细的信息,以便判断。 如果你的系统是windows的话,顺便在不正常的时候查看PC上的arp -a,
IP和mac是否OK?有没有被欺骗了。
Jeff. 发表于 2014-2-7 20:45
按正常情况,同一个VLAN的用户直接在SW上交换数据即可。
建议你tracert下,另外在正常和不正常的时候SW ...
jeff厉害呢{:soso_e142:}{:soso_e163:}
看一下交换机的MAC地址表。对应服务器的MAC地址做一下端口和MAC的对照。 LZ可以听听以上两位SIR的建议哦,对你应该有帮助的{:soso_e129:} 本帖最后由 torohuang 于 2014-2-27 17:21 编辑
厲害~~~馬上發現~~原來大部份的server mac會突然學成ASA上的
那想請教,如何改掉?我試著在SW上新增一個同網段的IP然後把MAC綁死好像就解了~~但這應該算是治標不是治本的方法~~
另外我發現我的ASA上多了以下這設定
想知道會不會是這影響的?因為我其他點的都沒這些指令~~
然後是正常的
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect esmtp
謝謝各位大大~~~問題已解~~
結果是有白痴下了這個
global (WSUS_NTP_Anti) 168 CPC_NTP_WSUS netmask 255.255.255.255
页:
[1]