OK, hier ist das Szenario. Ich habe 4 Standorte, die mit einem MPLS verbunden sind. Ich habe am primären Standort 10.20.1.0 eine ASA installiert. Der interne und externe Datenverkehr ist in Ordnung, aber ... ich kann den Datenverkehr nicht über das MPLS an ein anderes Netzwerk weiterleiten. Er wird durch eine implizite Verweigerungsregel blockiert, obwohl es eine Regel gibt, die den Datenverkehr zu jeder weniger sicheren Schnittstelle zulässt (es sollte doch dieselbe Schnittstelle für Ein- und Ausgang verwendet werden, oder?). Ich habe eine statische Route für das eingehende Netzwerk und die ASA kann sie anpingen – nur nicht den Datenverkehr im internen Netzwerk der ASA.
-Jason
Antwort1
Da Sie erwähnt haben, dass Sie für Ein- und Ausgabe dieselbe Schnittstelle verwenden, möchten Sie sich vielleicht diesen Befehl ansehen:
same-security-traffic permit intra-interface
Hier sind die Konfigurationsinformationen zum Same-Security-Traffic:
inter-interface Permit communication between different interfaces with the
same security level
intra-interface Permit communication between peers connected to the same
interface
Tut mir leid, aber ich weiß nicht, wo die entsprechende Option in ASDM ist.
Antwort2
Wenn wir die Konfiguration sehen könnten, wäre die Diagnose wesentlich einfacher.
Könnten Sie auch einige Ihrer Debug-Ausgaben posten? So ausführlich wie möglich. Ich würde gerne sehen, was die ASA über die eingehenden und ausgehenden Schnittstellen für den Datenverkehr zu den Remote-Standorten denkt, die nicht funktionieren. Außerdem eine Debug-Ausgabe der Pings, die funktionieren.