Cisco Catalyst 3750 collegato a Cisco ASA 5505 e pacchetti in uscita

1

In ufficio, ho ereditato una rete che sto ancora cercando di comprendere appieno. Oggi ho un problema con una nuova connessione tra:

  • Una porta su un Cisco Catalyst 3750 [WS-C3750G-48TS-S con C3750-IPSERVICESK9-M versione 12.2 (53) SE1]
  • Una porta su un Cisco ASA 5505 [ASA Software versione 8.3 (2)]

Il 3750 ospita un Vlan a cui sono assegnate alcune porte. 

interface Vlan3
 description Internal network (172.18.160.0/24)
 ip address 172.18.160.1 255.255.255.0

Ho un host (al di fuori del mio controllo) che deve essere in questa VLAN (vale a dire che deve avere un indirizzo 172.18.160.qualcosa / 24) che ha anche bisogno di accedere a Internet.

Per fare ciò, ho eseguito un collegamento da Catalyst (Gi1 / 0/13) a ASA (Ethernet 0/5). Ho configurato la porta Catalyst in questo modo: 

interface GigabitEthernet1/0/13
 description To ASA, 172.18.160.69
 switchport access vlan 3
 switchport mode access
 speed 100
 duplex full

Ho configurato l'ASA in questo modo: 

interface Vlan1
 nameif inside
 security-level 100
 ip address 172.18.160.69 255.255.255.0

interface Ethernet0/5
 speed 100
 duplex full

Quindi ho collegato l'host a Ethernet 0/4 sull'ASA e ho chiesto al suo proprietario di impostare il suo gateway predefinito 172.18.160.69. Ho creato una regola NAT in ASA e ho impostato alcune regole, ed è in grado di accedere a Internet senza problemi.

Tuttavia, ho notato che Catalyst riporta una tonnellata di pacchetti che vengono rilasciati verso l'ASA. 

Catalyst3750#show interfaces GigabitEthernet 1/0/13 | include counters|drops
  Last clearing of "show interface" counters 00:28:13
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 136909347

Si tratta di un numero enorme di gocce, dal momento che non c'è molto traffico su questa VLAN.

Ho provato queste cose:

  • Accertati che la velocità e il fronte-retro siano d'accordo su entrambi i lati (100 Mbps / Full)
  • Impostato no cdp enable sul Catalyst Gi10 / 13
  • Impostato no keepalive sul Catalyst Gi10 / 13
  • Controllato l'utilizzo eccessivo della CPU su entrambi
  • Controllato per il traffico eccessivo su entrambi

Mi sto perdendo qualcosa? Qualsiasi aiuto sarebbe apprezzato.

firewall  vlan 
bbayles
fonte
Questo potrebbe essere meglio su Serverfault. È molto più costoso di quanto la maggior parte delle persone su questo sito sono abituati.
MaQleod
1
non raddoppiare i post, ma se non trovi le risposte che ti servono qui, segnalalo per un OP per muoverti.
MaQleod

Risposte:

1

Posso provarlo, ma non penso che risolva davvero il problema dei pacchetti che scendono verso l'ASA?

Esso può. Eliminerà 0/4 che potrebbe potenzialmente avere un problema. Anche se stai vedendo le gocce in uscita sul 3750, potrebbe esserci qualche problema di segnalazione lì. I miei suggerimenti sono di provare un nuovo cavo (e collegare l'host al 3750 come suggerito da Harris).

Inoltre, si prega di notare che c'è un bug che mostra il numero errato di gocce in uscita ... non sono sicuro che ciò influisca sulla tua versione.

raffialli
fonte
0

Perché hai messo l'host direttamente sulla porta ASA 0/4? Prova a connettere l'host sullo switch Catalyst poiché questo ha già una connessione con ASA in Vlan3.

Harris
fonte
Posso provarlo, ma non penso che risolva davvero il problema dei pacchetti che scendono verso l'ASA?
bbayles
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.