Im Büro habe ich ein Netzwerk geerbt, das ich immer noch nicht ganz verstanden habe. Ich habe heute ein Problem mit einer neuen Verbindung zwischen:
- Ein Port auf einem Cisco Catalyst 3750 [WS-C3750G-48TS-S mit C3750-IPSERVICESK9-M Version 12.2(53)SE1]
- Ein Port auf einem Cisco ASA 5505 [ASA Softwareversion 8.3(2)]
Der 3750 beherbergt ein VLAN, dem einige Ports zugewiesen sind.
interface Vlan3
description Internal network (172.18.160.0/24)
ip address 172.18.160.1 255.255.255.0
Ich habe einen Host (außerhalb meiner Kontrolle), der in diesem VLAN sein muss (d. h. er muss die Adresse 172.18.160.irgendwas/24 haben) und der auch auf das Internet zugreifen muss.
Um dies zu erreichen, habe ich eine Verbindung vom Catalyst (Gi1/0/13) zum ASA (Ethernet 0/5) hergestellt. Ich habe den Catalyst-Port folgendermaßen konfiguriert:
interface GigabitEthernet1/0/13
description To ASA, 172.18.160.69
switchport access vlan 3
switchport mode access
speed 100
duplex full
Ich habe die ASA wie folgt konfiguriert:
interface Vlan1
nameif inside
security-level 100
ip address 172.18.160.69 255.255.255.0
interface Ethernet0/5
speed 100
duplex full
Dann habe ich den Host an Ethernet 0/4 der ASA angeschlossen und seinen Besitzer angewiesen, sein Standard-Gateway auf 172.18.160.69 festzulegen. Ich habe eine NAT-Regel in der ASA erstellt und einige Regeln eingerichtet, und er kann problemlos auf das Internet zugreifen.
Mir ist jedoch aufgefallen, dass der Catalyst eine Menge Pakete meldet, die in Richtung ASA verloren gehen.
Catalyst3750#show interfaces GigabitEthernet 1/0/13 | include counters|drops
Last clearing of "show interface" counters 00:28:13
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 136909347
Das ist eine sehr große Zahl von Ausfällen, da auf diesem VLAN überhaupt nicht viel Verkehr herrscht.
Ich habe Folgendes ausprobiert:
- Stellen Sie sicher, dass Geschwindigkeit und Duplex auf beiden Seiten übereinstimmen (100 Mbit/s/Voll)
no cdp enableAuf den Catalyst Gi10/13 eingestelltno keepaliveAuf den Catalyst Gi10/13 eingestellt- Auf übermäßige CPU-Auslastung geprüft auf beiden
- Auf übermäßigen Verkehr geprüft auf beiden
Übersehe ich etwas? Ich bin für jede Hilfe dankbar.
Antwort1
Ich kann das versuchen, aber ich glaube nicht, dass das das Problem der in Richtung ASA verloren gegangenen Pakete wirklich löst, oder?
Das kann sein. Dadurch wird 0/4 eliminiert, das möglicherweise ein Problem darstellen könnte. Auch wenn Sie die ausgehenden Verbindungsabbrüche auf dem 3750 sehen, könnte dort ein Signalproblem vorliegen. Ich schlage vor, es mit einem neuen Kabel zu versuchen (und den Host wie von Harris vorgeschlagen an den 3750 anzuschließen).
Bitte beachten Sie auch, dassEs gibt einen Fehler, der die falsche Anzahl von Ausgabe-Drops anzeigt... nicht sicher, ob es Ihre Version betrifft.
Antwort2
Warum hast du den Host direkt auf ASA-Port 0/4 gesetzt? Versuche, den Host mit dem Catalyst-Switch zu verbinden, da dieser bereits eine Verbindung mit ASA in VLAN3 hat.