無法從不同 VLAN 訪問 Cisco ESA
我正在從 VLAN1 上的單個 10.1.0.0/16 子網遷移到單獨的 VLAN
在現有的 /16 子網中是我們的 Cisco Mail Security (ESA)。
在客戶端的新 VLAN 段(10.101.10.0/24,VLAN6)中,除了訪問 ESA 之外,我幾乎可以做任何事情。沒有 ping 也沒有通過 HTTP(s) 訪問。其他伺服器和服務可以從 VLAN1 完全訪問
思科支持人員表示 ESA 的配置沒有問題。
網路完全是思科。
ESA 的網路/IP 介面設置:
10.1.30.188/16
我還嘗試使用配置 10.101.10.250/24 添加單獨的 NIC,但它沒有解決任何問題
Coreswitch上的VLAN配置:
show run interface vlan 1 interface Vlan 1 ip address 10.1.0.253 255.255.0.0 end show run interface vlan 6 ! interface Vlan 6 description LAN-Clients ip address 10.101.10.253 255.255.255.0 ip helper-address 10.1.30.84 no ip route-cache end
韌體是 Cisco ASA 5508-X
該問題也適用於同一管理程序上的 VLAN8 測試虛擬機。Cisco ASA 的管理由外部管理。
這是 Coreswitch 的 ping 測試:
CiscoCORE#ping 10.1.30.188 鍵入轉義序列以中止。
向 10.1.30.188 發送 5 個 100 字節的 ICMP Echo,超時為 2 秒:!!!!!!
成功率為 100% (5/5),往返 min/avg/max = 1/1/4 ms
CiscoCORE#ping 10.1.30.188 source vlan8 鍵入轉義序列以中止。
向 10.1.30.188 發送 5 個 100 字節的 ICMP Echo,超時為 2 秒:發送的數據包源地址為 10.8.0.253 …..
成功率為 0% (0/5)
問題出在哪裡?
更新:感謝@Tero Kilkanen 的評論,我添加了一些資訊和測試。我還沒有想到 ASA 方面可能存在的問題,但這可能是重點
更新:我終於做到了。 在重新檢查 IP 介面後(我當然也在 VLAN6 中創建了一個帶 IP 的介面)我嘗試通過 SSH 創建它(使用相同的設置)
之後我可以從 Vlan6 訪問它也許 IP 介面必須通過 SSH 而不是 Web GUI 創建。我沒有設置任何不同的東西
就像在最初文章的末尾所寫的那樣,通過通過 SSH 而不是通過 Web GUI 配置 IP 介面來解決問題
設置完全相同且簡單(IP / GW / Hostname / Ports / Interface)
我原以為我不需要做任何事情,因為思科支持人員花了好幾天時間來檢查它。