本帖最后由 c8092899 于 2017-6-15 11:27 编辑
各位大神,又要麻烦大家了,有问题请教咯 图倒了,大家将就着看哦,大概的网络拓扑看图。
问题是这样,总部的VPN 设备是挂在CISCO ASA 5525的防火墙下的DMZ区域,想通过IPSEC VPN跟分公司对接,但分公司直接拿AC做dhcp,也就是内网单网段,我在总部这边建立了用户,也通过防火墙发布了4009端口,也宣告了本地子网,在分公司的AC导入用户,查看日志,显示的是对接成功,但内网互相ping不通。 我在总部VPN设备上一级的交换机加了路由 ip route 10.160.1.0 255.255.255.0 10.4.10.200 在防火墙添加了路由 route dmz 10.160.1.0 255.255.255.0 13.1.1.1 也还是无法跟inside inside2内部正常通信 不知道在哪里还缺少了路由,忘指点。谢谢各位大神了。
问题解决了 1、首先在VPN设备上层交换机 3750添加路由 ip route 10.160.1.0 255.255.255.0 10.4.10.200 2、ASA防火墙配置路由 route DMZ 10.160.1.0 255.255.255.0 13.1.1.1 ASA 定义了 object-group network 10.160.1.0/24这个子网,通过ACL 控制允许访问inside inside2区域 3、inside 区域 4507交换机配置路由 ip route 10.160.1.0 255.255.255.0 10.1.0.2 4、inside2区域3750交换机配置路由 ip route 10.160.1.0 255.255.255.0 12.1.1.2 5、vpn设备宣告了子网 10.2.0.0/16 10.1.0.0/16
其实我一开始就是这样做的,就是不生效,重复了好多次,后来有重新配置了下,竟然生效了,内网可以互访。
谢谢各位大神提供的排错思路。 |