Нет доступа к Cisco ESA из другой VLAN.

Question

Нет доступа к Cisco ESA из другой VLAN.

Я собираюсь перейти на отдельные VLAN из одной подсети 10.1.0.0/16 в VLAN1.

В существующей подсети /16 находится наша Cisco Mail Security (ESA).

В новом сегменте Vlan для клиентов (10.101.10.0/24, VLAN6) я могу делать практически все, кроме доступа к ESA. Нет пинга, а также нет доступа через HTTP(s). Другие серверы и сервисы полностью доступны, например, из VLAN1.

В службе поддержки Cisco заявили, что с конфигурацией ESA проблем нет.

Сеть полностью Cisco.

Настройка сетевых/IP-интерфейсов ESA:

10.1.30.188/16

Я также пробовал добавить отдельный сетевой адаптер с конфигом 10.101.10.250/24, но это ничего не решило.

Конфигурация Vlan на Coreswitch:

      show run interface vlan 1
interface Vlan 1
ip address 10.1.0.253 255.255.0.0
end

show run interface vlan 6
!
interface Vlan 6
description LAN-Clients
ip address 10.101.10.253 255.255.255.0
ip helper-address 10.1.30.84
no ip route-cache
end

Прошивка — Cisco ASA 5508-X.

проблема также возникает на тестовых виртуальных машинах VLAN8 на том же гипервизоре. Управление Cisco ASA осуществляется извне.

Это пинг-тест от Coreswitch:

CiscoCORE#ping 10.1.30.188 Введите escape-последовательность для прерывания.

Отправка 5 100-байтовых сообщений ICMP на адрес 10.1.30.188, тайм-аут 2 секунды:!!!!!

Вероятность успеха составляет 100 процентов (5/5), время прохождения туда и обратно мин/сред/макс = 1/1/4 мс.

CiscoCORE#ping 10.1.30.188 source vlan8 Введите escape-последовательность для прерывания.

Отправка 5 100-байтовых сообщений ICMP на адрес 10.1.30.188, тайм-аут 2 секунды: пакет отправлен с исходным адресом 10.8.0.253.....

Вероятность успеха составляет 0 процентов (0/5).

где может быть проблема?

Обновление: благодаря комментарию @Tero Kilkanen я добавил некоторую информацию и тесты. Я еще не думал о возможной проблеме на стороне ASA, но, возможно, имеет смысл посмотреть

Обновление: я наконец сделал это. После повторной проверки IP-интерфейсов (разумеется, я также создал интерфейс с IP в VLAN6) я попытался создать его через SSH (с теми же настройками).

Впоследствии я смог получить к нему доступ из Vlan6. Возможно, IP-интерфейс нужно создать через SSH вместо веб-интерфейса. я ничего другого не ставил

0

routing cisco vlan subnet ironport

Источник

Dave 29 дек '21 в 07:06

1 ответ

Другие вопросы по тегам routing cisco vlan subnet ironport

Dave 30 дек '21 в 08:18 2021-12-30 08:18 · Answer 1 · 2021-12-30 08:18

Как написано в конце исходного поста, проблема была решена путем настройки IP-интерфейса через SSH, а не через веб-интерфейс.

Настройки были абсолютно одинаковыми и простыми (IP/GW/Имя хоста/Порты/Интерфейс)

Я предполагал, что мне не нужно ничего делать, поскольку службе поддержки Cisco потребовалось несколько часов в течение многих дней, чтобы проверить это.