Нова VLAN не може проходити через ASA 9.1

Я новачок в ASA, і я намагаюся зробити все можливе, щоб наші нові VLAN104 (сервери) проходили через ASA в Інтернет. У мене є перемикач L3, який виконує міжвіанну маршрутизацію. Кожен vlan може пінг один до одного. Vlan1 (192.168.100.0/24) безпосередньо підключений до ASA і має доступ до інтернету.

Зовсім недавно я створив новий vlan104 (id 104) (192.168.104.0/24) і перемістив там деякі нові віртуальні машини та сховища. Я можу пінг до основного перемикача (HP 2920) з цього нового vlan. ASA не реагує і не блокує мене. Дивна річ тут, коли я відключаю 2x перемикачі доступу (LAN) від основного комутатора, підключаю ноутбук прямо до основного комутатора, призначаю статичну IP-адресу VLAN104 (192.168.104.xx), вона йде прямо до Інтернет. Відповіді на пінг добре, якщо/поки я не приєднаю 2x перемикачі доступу до ключових комутаторів.

Примітка: сервери та комп'ютери підключені до комутаторів доступу. Будь ласка, дивіться діаграму, надану для вашої інформації. Якщо ви потребуєте configs, я відправлю це на запит. Або якщо мій англійський не ясний, будь ласка дайте мені знати.

Дякуємо за будь-які відповіді та допомогу.

enter image description here

Ось поточна конфігурація:

ASA Version 9.1(2) 
!
interface GigabitEthernet0/0
 description Outside Interface
 nameif outside
 security-level 0
 ip address 10.15.xx.xx 255.255.255.0 
!
interface GigabitEthernet0/1
 description Inside Interface
 nameif inside
 security-level 100
 ip address 192.168.100.2 255.255.255.0 
!
 domain-name pngngcb.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network inside-outside
 subnet 192.168.100.0 255.255.255.0
 description Inside LAN to Outside
object network 192.168.100.5
 host 192.168.100.5
 description mail-server
object network 192.168.100.103
 host 192.168.100.103
 description mail-server
object network 192.168.100.3
 host 192.168.100.3
 description server
object network vlan104
 subnet 192.168.104.0 255.255.255.0
object-group service DM_INLINE_SERVICE_1
 service-object icmp echo
 service-object icmp6 echo
access-list inside_access_in extended permit object-group DM_INLINE_SERVICE_1 any any 
access-list inside_access_in remark NGCB Server - Mail & File Server
access-list inside_access_in extended permit ip object 192.168.100.5 any 
access-list inside_access_in extended permit ip host 192.168.100.102 any 
access-list inside_access_in extended permit ip host 192.168.100.111 any 
access-list inside_access_in extended permit ip host 192.168.104.11 any 
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network inside-outside
 nat (inside,outside) dynamic interface
 nat (inside,outside) dynamic interface
object network vlan104
 nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 10.15.xx.xx 1
route inside 192.168.104.0 255.255.255.0 192.168.100.9 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect ip-options 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
  inspect icmp 
!

HP 2920 switch
...............
Running configuration:

; J9729A Configuration Editor; Created on release #WB.15.12.0015
; Ver #05:18.41.ff.35.0d:9b

hostname "NGCB-SW4"
module 1 type j9729a
ip default-gateway 192.168.100.2
ip route 0.0.0.0 0.0.0.0 192.168.100.2
ip routing
interface 44
   name "UPLINK_TO_SW#2_LEVEL_2"
   exit
interface 45
   name "LINK_TO_PBX"
   exit
interface 46
   name "PTP_LINK_TO_MOGORU_MOTO"
   exit
interface 47
   name "UPLINK_TO_SW#1_LEVEL_3"
   exit
interface 48
   name "UPLINK_TO_ROUTER"
   exit
snmp-server community "public" unrestricted
oobm
   ip address dhcp-bootp
   exit
vlan 1
   name "DEFAULT_VLAN"
   no untagged 45
   untagged 1-43,48,A1-A2,B1-B2
   tagged 44,46-47
   ip address 192.168.100.9 255.255.255.0
   ip helper-address 192.168.100.103
   exit
vlan 100
   name "VoIP"
   untagged 45
   tagged 1-4,6-44,46-48
   ip address 192.168.50.254 255.255.255.0
   ip helper-address 192.168.100.103
   exit
vlan 104
   name "MANAGEMENT"
   ip address 192.168.104.254 255.255.255.0
   ip helper-address 192.168.100.103
   exit
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
3
Вам потрібно надати більше інформації. Відредагуйте своє запитання, щоб включити дезінфіковані конфігурації.
додано Автор Ron Maupin, джерело
Це не здається, що ви trunking всі VLAN від перемикання на ASA; тільки VLAN 1.
додано Автор Ron Maupin, джерело
Чи допомогла вам будь-яка відповідь? Якщо це так, ви повинні прийняти відповідь, щоб питання не виникало вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти свою власну відповідь.
додано Автор Ron Maupin, джерело
Чи ASA мають маршрути до підмережі VLAN?
додано Автор Ron Trunk, джерело
Будь ласка, напишіть перемикач і ASA конфіг.
додано Автор Ron Trunk, джерело
Ви перевірили своє остовне дерево для VLAN 104, коли всі комутатори підключені?
додано Автор MikeTheLiar, джерело
@Ron, ASA має маршрути, як показано .................... .................... & zwnj; .................... & zwnj; .... ................ & zwnj; ........... об'єктна мережа всередині-зовні nat (всередині, зовні) об'єкт динамічного інтерфейсу мережа vlan104 nat (усередині, зовнішній) динамічний інтерфейс група доступу external_access_in в інтерфейсі поза групою доступу inside_access_in в інтерфейсі всередині маршруту поза 0.0.0.0 0.0.0.0 10.15.xx.xx 1 маршрут усередині 192.168.104.0 00
додано Автор Abdullah, джерело

1 Відповіді

VLAN 104 не позначається на жодних портах. Потрібно дозволити це на порту ASA і перемикачі портів uplink.

1
додано
У вашому конфігурації комутатора VLAN 104 не позначений або немагнітний на будь-які порти.
додано Автор Ron Trunk, джерело
Є кілька речей неправильно. 1. У вас немає маршруту на ASA для VLAN 103. 2. Ви не ввімкнули icmp на ASA .. 3. Порти з серверами на VLAN 104 повинні мати 104 немарки.
додано Автор Ron Trunk, джерело
але всі vlans можуть пінг один одного, ПК можуть отримати IP-адреси через DHCP успішно, я можу пінг основний комутатор HP (192.168.100.9) з усіх VLAN. Так що я думаю, що vlans проходять через "штраф" на стовбурі портів. Pls взяти до відома, я не створив ніяких суб-інтерфейсів для vlans на ASA. Я просто хочу використовувати порт Gi0/0 порт на ASA, щоб дозволити всім vlans. З vlan1, я можу пінг все нормально і доступ до Інтернету. Vlan104 не може пінг ASA і від ASA я не можу пінг vlan104 інтерфейс на основний перемикач теж. Як позначити vlan104 на ASA?
додано Автор Abdullah, джерело
Вибачте за це. Пізніше я дезактивував деякі порти, але пристрої не мають доступу до Інтернету. Піктограма мережі на ПК показує "підключений і доступ до Інтернету", але насправді він просто вичерпується. Зверніть увагу, що я не використовую суб-інтерфейси. Я використовую один порт (192.168.100.2), щоб спробувати передати vlans 104 & 103 (192.168.103.xx, 192.168.104.xx) в Інтернет. Я не можу навіть пингувати ASA (192.168.100.2) з vlans 104, 103.
додано Автор Abdullah, джерело