- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, huk, 17:58 , 15-Июн-09 (1)
>interface Ethernet0/1.2 >vlan 2 >nameif Lan3 >security-level 100 >ip address 192.168.3.1 255.255.255.0Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо задействуйте второй интерфейс Ethernet0/2.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, huk, 18:00 , 15-Июн-09 (2)
Тоже самое касается и >interface Ethernet0/0.1 >vlan 1 >nameif WAN1 >security-level 0 >ip address x.x.x.233 255.255.255.252 - ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 19:34 , 15-Июн-09 (3)
>>interface Ethernet0/1.2 >>vlan 2 >>nameif Lan3 >>security-level 100 >>ip address 192.168.3.1 255.255.255.0 > >Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто >у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо >задействуйте второй интерфейс Ethernet0/2. Сделал как Вы сказали, все равно не работает. =/ Вот последний конфиг, что теперь не так? : Saved : Written by enable_15 at 18:11:12.143 EEDT Mon Jun 15 2009 ! ASA Version 8.0(2) ! hostname Test domain-name Test.Key dns-guard ! interface Ethernet0/0 no nameif no security-level no ip address ! interface Ethernet0/0.1 vlan 1 nameif WAN1 security-level 0 ip address x.x.x.228 255.255.255.248 ! interface Ethernet0/0.2 vlan 2 nameif WAN2 security-level 0 ip address x.x.x.233 255.255.255.248 ! interface Ethernet0/1 no nameif no security-level no ip address ! interface Ethernet0/1.1 vlan 11 nameif LAN1 security-level 100 ip address 192.168.2.254 255.255.255.0 ! interface Ethernet0/1.2 vlan 12 nameif LAN2 security-level 100 ip address 192.168.3.254 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! boot system disk0:/asa802-k8.bin ftp mode passive clock timezone EEST 2 clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00 dns server-group DefaultDNS domain-name Test.Key pager lines 24 logging enable logging asdm informational mtu management 1500 mtu WAN1 1500 mtu LAN1 1500 mtu WAN2 1500 mtu LAN2 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-611.bin asdm history enable arp timeout 14400 global (WAN1) 101 interface global (WAN2) 102 interface nat (management) 0 0.0.0.0 0.0.0.0 nat (LAN1) 101 192.168.2.0 255.255.255.0 nat (LAN2) 102 192.168.3.0 255.255.255.0 route WAN1 0.0.0.0 0.0.0.0 x.x.x.225 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management ! threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:f07042d085eed66ae1750089be80644e : end
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, shadow_alone, 23:46 , 15-Июн-09 (4)
действительно хрень полная. Вам что по определенному vlan приходит наружка? нет. ну тогда смотрите в сторону route-map и next-hop
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, chocholl, 08:46 , 16-Июн-09 (5)
>действительно хрень полная. >Вам что по определенному vlan приходит наружка? >нет. >ну тогда смотрите в сторону route-map и next-hop аса не умеет ни того, ни другого. автору: читайте про контексты (security context)
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 10:45 , 16-Июн-09 (8)
>автору: читайте про контексты (security context) Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 50 Inside Hosts : Unlimited Failover : Disabled VPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 0 GTP/GPRS : Disabled VPN Peers : 250 WebVPN Peers : 2 Advanced Endpoint Assessment : Disabled This platform has a Base license. Я правильно понимаю что мне надо сперва купить лицензию Security Plus?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 09:54 , 16-Июн-09 (6)
>[оверквотинг удален] > inspect sunrpc > inspect xdmcp > inspect sip > inspect netbios > inspect tftp >! >service-policy global_policy global >prompt hostname context >Cryptochecksum:f07042d085eed66ae1750089be80644e >: end а как вообще может быть 1 шлюз для 2-х подсетей ? соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2. и будет вам счастье :)
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 10:20 , 16-Июн-09 (7)
>а как вообще может быть 1 шлюз для 2-х подсетей ? >соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2. >и будет вам счастье :) Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот пул один. Циска не дает указывать тот же самый шлюз для двух разных айпишников. Я так и не придумал как обойти этот момент, может перед циской поставить какую-то еще железку которая разобьет пул провайдера на несколько меньших... но что тогда за железка мне нужна? Ушел пока читать про security context
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 11:10 , 16-Июн-09 (10)
>Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот >пул один. Циска не дает указывать тот же самый шлюз для >двух разных айпишников. Я так и не придумал как обойти этот >момент, может перед циской поставить какую-то еще железку которая разобьет пул >провайдера на несколько меньших... но что тогда за железка мне нужна? >То есть ваша задача - выпустить внутренние сети наружу под двумя разными публичными IP ? Если так - то весь этот огород с разными сабинтерфесами ( wan1 и wan2 ) на фиг не нужен, достаточно просто два разных global'а сделать. То есть: --- global (WAN1) 101 interface global (WAN1) 102 x.x.x.233 nat (LAN1) 101 192.168.2.0 255.255.255.0 nat (LAN2) 102 192.168.3.0 255.255.255.0 --- Интерфейс wan2 и все воспоминания о нем в таблицах MAC-адресов на соседних устройствах надо убрать.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 16:48 , 16-Июн-09 (13)
Большое спасибо за совет. Так заработало.Теперь есть другая проблема. Не ходят пинги из внутренних сетей до шлюзов 192.168.2.254 и 192.168.3.254. т.е. если вешаешь все на обычные интерфейсы то все работает, если на vlan то все отрубает нафиг. В документации я почитал что надо сделать следующее: Step 1 To specify the switch port you want to configure, enter the following command: hostname(config)# interface ethernet0/port Where port is 0 through 7. For example, enter the following command: hostname(config)# interface ethernet0/1 Step 2 To assign this switch port to a VLAN, enter the following command: hostname(config-if)# switchport access vlan number Where number is the VLAN ID, between 1 and 4090. Беда в том что команда switchport почему-то отсутствует и у меня не получается дать понять виртуальным интерфейсам (ethernet0/1.1 и ethernet0/1.2) со своими подсетями что они должны работать через конкретый физический интерфейс ethernet0/1. Какую команду ковырять взамен switchport?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 17:46 , 16-Июн-09 (14)
А это мы про какое оборудование сейчас говорим ? Все еще ASA или уже какой-то коммутатор внутри ?
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, AlexeyI, 18:03 , 16-Июн-09 (15)
>А это мы про какое оборудование сейчас говорим ? >Все еще ASA или уже какой-то коммутатор внутри ? ASA 5510 Вот как ругается в консоли: ciscoasa# conf t ciscoasa(config)# int e0/1 ciscoasa(config-if)# sw? ERROR: % Unrecognized command ciscoasa(config-if)# exit ciscoasa(config)# int e0/1.1 ciscoasa(config-subif)# sw? ERROR: % Unrecognized command ciscoasa(config-subif)#
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, i10xff, 18:25 , 16-Июн-09 (16)
Собственно говоря, на ASA вы уже все это сделали вот этими командами: --- interface Ethernet0/1 no nameif no security-level no ip address ! interface Ethernet0/1.1 vlan 11 nameif LAN1 security-level 100 ip address 192.168.2.254 255.255.255.0 ! interface Ethernet0/1.2 vlan 12 nameif LAN2 security-level 100 ip address 192.168.3.254 255.255.255.0 --- То есть - у вас есть два сабинтерфейса с vlan'ами 11 и 12, и один транк ( собственно, сам e0/1 ). Теперь ваша задача - принять этот транк ( 802.1q ) на порту коммутатора, к которому подключен e1/0 и дальше уже раскидать VLAN'ы. Если стоящее внутри железо не умеет обрабатывать 802.1q, то надо будет раскидать внутренние сети по разным физическим интерфейсам ASA.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 16:07 , 16-Июн-09 (12)
>[оверквотинг удален] >>и будет вам счастье :) > >Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот >пул один. Циска не дает указывать тот же самый шлюз для >двух разных айпишников. Я так и не придумал как обойти этот >момент, может перед циской поставить какую-то еще железку которая разобьет пул >провайдера на несколько меньших... но что тогда за железка мне нужна? > > >Ушел пока читать про security context зачем бить маленькую сеть на подсети ? какие цели приследуете можно попробовать так: берете вашу сетку кторая со шлюзом от прова т.е. брете ххх.224/29 я так понимаю у вас больше сеть чем эта.(можно уточнить кстатии) в общем оставляете на циске, которая смотрит на прова сетку ххх.224/30 и так же вешаем доп сеть на циску (ххх.228/30)1 на циске один на асе и другую сеть которая на нерабочем wan-e сидит ее так же берете один из айпи из этой сетки на циску и на асу .дефолтом на асе прописываем соотвественно указанные на циске адреса. все.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, mario, 11:01 , 16-Июн-09 (9)
>[оверквотинг удален] > inspect sunrpc > inspect xdmcp > inspect sip > inspect netbios > inspect tftp >! >service-policy global_policy global >prompt hostname context >Cryptochecksum:f07042d085eed66ae1750089be80644e >: end как вообще может быть один шлюз для 2-х подсетей? узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248 и пропишите дефолтный шлюз на асе.
- ASA 5510 несколько внешних и внутренних интерфейсов. Как?, huk, 12:53 , 16-Июн-09 (11)
>[оверквотинг удален] >> inspect tftp >>! >>service-policy global_policy global >>prompt hostname context >>Cryptochecksum:f07042d085eed66ae1750089be80644e >>: end > >как вообще может быть один шлюз для 2-х подсетей? >узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248 >и пропишите дефолтный шлюз на асе. во-во... сделаны подсети... а шлюз один... если я в подсчетах не ошибся (в уме считал), то получается у автора так: 1. две подсети: x.x.x.224/29 и x.x.x.232/30 2. Адреса, которые могут быть использованы в этих подсетях: a) x.x.x.225/29 - x.x.x.230/29 b) x.x.x.233/30 - x.x.x.234/30 Автор, подумайте, плиз, все-таки над шлюзом...
|