SW 與 ASA 問題

torohuang

版上的大大們
最近遇到一個問題，手上有台2960G SWITCH OS為12.2(44)SE6
在上面設了VLAN 2241分別在PORT1、port2而有個port帶trunk接asa為這網段的gateway
但發現Server1及Server2分別接在port1及port2時server1要連server2的80會不通
查看後它封包跑到了ASA皆被deny掉
變得在ASA上開ACL才能正常
但在同台SWITCH上不是應該就能直接互通嗎？為何會發生還要繞到Gateway再回去的問題？
是我那裡需調整嗎？還是這是cisco的bug嗎？

Jeff.

按正常情况，同一个VLAN的用户直接在SW上交换数据即可。

建议你tracert下，另外在正常和不正常的时候SW上show mac address-table看下mac地址和端口

绑定是否正常？

请给出更加详细的信息，以便判断。

Jeff.

如果你的系统是windows的话，顺便在不正常的时候查看PC上的arp -a，

IP和mac是否OK？有没有被欺骗了。

zhangaxyoyo

Jeff. 发表于 2014-2-7 20:45
按正常情况，同一个VLAN的用户直接在SW上交换数据即可。

建议你tracert下，另外在正常和不正常的时候SW ...

jeff厉害呢{:soso_e142:}{:soso_e163:}

victor_huang

看一下交换机的MAC地址表。对应服务器的MAC地址做一下端口和MAC的对照。

zhangaxyoyo

LZ可以听听以上两位SIR的建议哦，对你应该有帮助的{:soso_e129:}

torohuang

厲害~~~馬上發現~~原來大部份的server mac會突然學成ASA上的
那想請教，如何改掉？我試著在SW上新增一個同網段的IP然後把MAC綁死好像就解了~~但這應該算是治標不是治本的方法~~

另外我發現我的ASA上多了以下這設定

想知道會不會是這影響的？因為我其他點的都沒這些指令~~
然後是正常的
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect esmtp

torohuang

謝謝各位大大~~~問題已解~~
結果是有白痴下了這個
global (WSUS_NTP_Anti) 168 CPC_NTP_WSUS netmask 255.255.255.255