- ASA 5510 несколько внешних и внутренних интерфейсов. Как?,
 huk, 17:58 , 15-Июн-09 (1)>interface Ethernet0/1.2
>vlan 2
>nameif Lan3
>security-level 100
>ip address 192.168.3.1 255.255.255.0Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо задействуйте второй интерфейс Ethernet0/2.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, huk, 18:00 , 15-Июн-09 (2)
Тоже самое касается и
>interface Ethernet0/0.1
>vlan 1
>nameif WAN1
>security-level 0
>ip address x.x.x.233 255.255.255.252 - ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 19:34 , 15-Июн-09 (3)
>>interface Ethernet0/1.2
>>vlan 2
>>nameif Lan3
>>security-level 100
>>ip address 192.168.3.1 255.255.255.0
>
>Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто
>у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо
>задействуйте второй интерфейс Ethernet0/2. Сделал как Вы сказали, все равно не работает. =/
Вот последний конфиг, что теперь не так?
: Saved
: Written by enable_15 at 18:11:12.143 EEDT Mon Jun 15 2009
!
ASA Version 8.0(2)
!
hostname Test
domain-name Test.Key
dns-guard
!
interface Ethernet0/0
no nameif
no security-level
no ip address
!
interface Ethernet0/0.1
vlan 1
nameif WAN1
security-level 0
ip address x.x.x.228 255.255.255.248
!
interface Ethernet0/0.2
vlan 2
nameif WAN2
security-level 0
ip address x.x.x.233 255.255.255.248
!
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.1
vlan 11
nameif LAN1
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/1.2
vlan 12
nameif LAN2
security-level 100
ip address 192.168.3.254 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name Test.Key
pager lines 24
logging enable
logging asdm informational
mtu management 1500
mtu WAN1 1500
mtu LAN1 1500
mtu WAN2 1500
mtu LAN2 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-611.bin
asdm history enable
arp timeout 14400
global (WAN1) 101 interface
global (WAN2) 102 interface
nat (management) 0 0.0.0.0 0.0.0.0
nat (LAN1) 101 192.168.2.0 255.255.255.0
nat (LAN2) 102 192.168.3.0 255.255.255.0
route WAN1 0.0.0.0 0.0.0.0 x.x.x.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f07042d085eed66ae1750089be80644e
: end
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, shadow_alone, 23:46 , 15-Июн-09 (4)
действительно хрень полная.
Вам что по определенному vlan приходит наружка?
нет.
ну тогда смотрите в сторону route-map и next-hop
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, chocholl, 08:46 , 16-Июн-09 (5)
>действительно хрень полная.
>Вам что по определенному vlan приходит наружка?
>нет.
>ну тогда смотрите в сторону route-map и next-hop аса не умеет ни того, ни другого.
автору: читайте про контексты (security context)
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 10:45 , 16-Июн-09 (8)
>автору: читайте про контексты (security context) Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 50
Inside Hosts : Unlimited
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 0
GTP/GPRS : Disabled
VPN Peers : 250
WebVPN Peers : 2
Advanced Endpoint Assessment : Disabled This platform has a Base license. Я правильно понимаю что мне надо сперва купить лицензию Security Plus?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 09:54 , 16-Июн-09 (6)
>[оверквотинг удален]
> inspect sunrpc
> inspect xdmcp
> inspect sip
> inspect netbios
> inspect tftp
>!
>service-policy global_policy global
>prompt hostname context
>Cryptochecksum:f07042d085eed66ae1750089be80644e
>: end а как вообще может быть 1 шлюз для 2-х подсетей ?
соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2.
и будет вам счастье :)
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 10:20 , 16-Июн-09 (7)
>а как вообще может быть 1 шлюз для 2-х подсетей ?
>соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2.
>и будет вам счастье :) Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот пул один. Циска не дает указывать тот же самый шлюз для двух разных айпишников. Я так и не придумал как обойти этот момент, может перед циской поставить какую-то еще железку которая разобьет пул провайдера на несколько меньших... но что тогда за железка мне нужна? Ушел пока читать про security context
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 11:10 , 16-Июн-09 (10)
>Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот
>пул один. Циска не дает указывать тот же самый шлюз для
>двух разных айпишников. Я так и не придумал как обойти этот
>момент, может перед циской поставить какую-то еще железку которая разобьет пул
>провайдера на несколько меньших... но что тогда за железка мне нужна?
>То есть ваша задача - выпустить внутренние сети наружу под двумя разными публичными IP ?
Если так - то весь этот огород с разными сабинтерфесами ( wan1 и wan2 ) на фиг не нужен, достаточно просто два разных global'а сделать.
То есть:
---
global (WAN1) 101 interface
global (WAN1) 102 x.x.x.233
nat (LAN1) 101 192.168.2.0 255.255.255.0
nat (LAN2) 102 192.168.3.0 255.255.255.0
---
Интерфейс wan2 и все воспоминания о нем в таблицах MAC-адресов на соседних устройствах надо убрать.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 16:48 , 16-Июн-09 (13)
Большое спасибо за совет. Так заработало.Теперь есть другая проблема. Не ходят пинги из внутренних сетей до шлюзов 192.168.2.254 и 192.168.3.254. т.е. если вешаешь все на обычные интерфейсы то все работает, если на vlan то все отрубает нафиг.
В документации я почитал что надо сделать следующее: Step 1 To specify the switch port you want to configure, enter the following command:
hostname(config)# interface ethernet0/port
Where port is 0 through 7. For example, enter the following command:
hostname(config)# interface ethernet0/1 Step 2 To assign this switch port to a VLAN, enter the following command:
hostname(config-if)# switchport access vlan number
Where number is the VLAN ID, between 1 and 4090. Беда в том что команда switchport почему-то отсутствует и у меня не получается дать понять виртуальным интерфейсам (ethernet0/1.1 и ethernet0/1.2) со своими подсетями что они должны работать через конкретый физический интерфейс ethernet0/1. Какую команду ковырять взамен switchport?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 17:46 , 16-Июн-09 (14)
А это мы про какое оборудование сейчас говорим ?
Все еще ASA или уже какой-то коммутатор внутри ?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 18:03 , 16-Июн-09 (15)
>А это мы про какое оборудование сейчас говорим ?
>Все еще ASA или уже какой-то коммутатор внутри ? ASA 5510 Вот как ругается в консоли: ciscoasa# conf t
ciscoasa(config)# int e0/1
ciscoasa(config-if)# sw?
ERROR: % Unrecognized command
ciscoasa(config-if)# exit
ciscoasa(config)# int e0/1.1
ciscoasa(config-subif)# sw?
ERROR: % Unrecognized command
ciscoasa(config-subif)#
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 18:25 , 16-Июн-09 (16)
Собственно говоря, на ASA вы уже все это сделали вот этими командами:
---
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.1
vlan 11
nameif LAN1
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/1.2
vlan 12
nameif LAN2
security-level 100
ip address 192.168.3.254 255.255.255.0
---
То есть - у вас есть два сабинтерфейса с vlan'ами 11 и 12, и один транк ( собственно, сам e0/1 ). Теперь ваша задача - принять этот транк ( 802.1q ) на порту коммутатора, к которому подключен e1/0 и дальше уже раскидать VLAN'ы.
Если стоящее внутри железо не умеет обрабатывать 802.1q, то надо будет раскидать внутренние сети по разным физическим интерфейсам ASA.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 16:07 , 16-Июн-09 (12)
>[оверквотинг удален]
>>и будет вам счастье :)
>
>Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот
>пул один. Циска не дает указывать тот же самый шлюз для
>двух разных айпишников. Я так и не придумал как обойти этот
>момент, может перед циской поставить какую-то еще железку которая разобьет пул
>провайдера на несколько меньших... но что тогда за железка мне нужна?
>
>
>Ушел пока читать про security context зачем бить маленькую сеть на подсети ?
какие цели приследуете
можно попробовать так:
берете вашу сетку кторая со шлюзом от прова т.е. брете ххх.224/29 я так понимаю у вас больше сеть чем эта.(можно уточнить кстатии)
в общем оставляете на циске, которая смотрит на прова сетку ххх.224/30
и так же вешаем доп сеть на циску (ххх.228/30)1 на циске один на асе и другую сеть которая на нерабочем wan-e сидит ее так же берете один из айпи из этой сетки на циску и на асу .дефолтом на асе прописываем соотвественно указанные на циске адреса.
все.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 11:01 , 16-Июн-09 (9)
>[оверквотинг удален]
> inspect sunrpc
> inspect xdmcp
> inspect sip
> inspect netbios
> inspect tftp
>!
>service-policy global_policy global
>prompt hostname context
>Cryptochecksum:f07042d085eed66ae1750089be80644e
>: end как вообще может быть один шлюз для 2-х подсетей?
узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248
и пропишите дефолтный шлюз на асе.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, huk, 12:53 , 16-Июн-09 (11)
>[оверквотинг удален]
>> inspect tftp
>>!
>>service-policy global_policy global
>>prompt hostname context
>>Cryptochecksum:f07042d085eed66ae1750089be80644e
>>: end
>
>как вообще может быть один шлюз для 2-х подсетей?
>узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248
>и пропишите дефолтный шлюз на асе. во-во... сделаны подсети... а шлюз один...
если я в подсчетах не ошибся (в уме считал), то получается у автора так:
1. две подсети: x.x.x.224/29 и x.x.x.232/30
2. Адреса, которые могут быть использованы в этих подсетях:
a) x.x.x.225/29 - x.x.x.230/29
b) x.x.x.233/30 - x.x.x.234/30
Автор, подумайте, плиз, все-таки над шлюзом...
|
Версия для распечатки
ASA 5510 несколько внешних и внутренних интерфейсов. Как?, 
