The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Как настроить route-map, !*! Alexander, 04-Мрт-10, 17:55  [смотреть все]
Добрый день. есть такая задачка..
схема тут :http://s003.radikal.ru/i202/1003/c1/50e0528bdca5.jpg


Нужно зарулить сеть 10.1.190.0 через асу в дмз

на 6509 есть маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 10.2.28.4
для того что бы пустить 190 влан по другому маршруту. т.е. хосты из 190 влана должны ходить через интерфейс асы инсайд через нат в оутсайд и собственно к двум хостам в дмз.

написав роутмап я заставих хосты из 190 влана ходить через инсайд в оутсайд, но как мне зароутить что бы хосты из 190 влана ходили в дмз через инсайд именно на два этих хоста 10.1.1.150 и 151


на 6509


interface Vlan101                                                              
description TEST2                                                                
ip address 10.1.1.1 255.255.255.0                                              
ip helper-address 192.168.18.16                                                
no ip redirects


interface Vlan190                                                              
description TEST                                                              
ip address 10.1.190.1 255.255.255.0                                            
ip helper-address 192.168.18.16                                                
no ip redirects                                                                
ip policy route-map net-TEST


ip access-list extended Vlan_route
deny ip any any

ip access-list extended vlan_TEST                                              
permit ip 10.1.190.0 0.0.0.255 any


route-map net-TEST deny 10                                                      
match ip address Vlan_route  

route-map net-TEST permit 20                                                    
match ip address vlan_TEST                                                    
set ip next-hop 10.2.26.4


в данном случае.. если я обращаюсь к внешним хостам, то иду через инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151 я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты идут через дмз на инсайд. Хочется что бы и прямые пакеты тоже ходили через асу. Это можно как-то сделать?

Ответить | Сообщить модератору
  • Как настроить route-map, !*! GByte, 18:45 , 04-Мрт-10 (1)
    В чем сакральный смысл DMZ, если у 6509 в этой сети есть IP?

    DMZ и строится для того чтобы изолировать сервера доступные из интернета и контролировать их доступ к LAN.

    Получается DMZ становится дырявой.

    Может дизайн пересмотреть? чтобы потом небыло мучительно больно...

    Ответить | Сообщить модератору
    • Как настроить route-map, !*! Alexander, 09:42 , 05-Мрт-10 (3)
      >В чем сакральный смысл DMZ, если у 6509 в этой сети есть
      >IP?
      >
      >DMZ и строится для того чтобы изолировать сервера доступные из интернета и
      >контролировать их доступ к LAN.
      >
      >Получается DMZ становится дырявой.
      >
      >Может дизайн пересмотреть? чтобы потом небыло мучительно больно...

      Это понятно. Ситуация такая, есть серверный влан 101, живет он на 6509, купили асу, хотим построить как положено, что бы пользователи к серверам ходили через асу, без ната в дмз, в мир ессесно через нат. Выделили 2 сервака и на них хотим протестить такую схему.

      Ответить | Сообщить модератору
  • Как настроить route-map, !*! GByte, 18:49 , 04-Мрт-10 (2)
    >
    >в данном случае.. если я обращаюсь к внешним хостам, то иду через
    >инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151
    >я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так
    >как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты
    >идут через дмз на инсайд. Хочется что бы и прямые пакеты
    >тоже ходили через асу. Это можно как-то сделать?

    Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT.
    Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в таком случае хосты будут видеть что к ним обращается хост из их подсети и будут отвечать ему напрямую.

    ip nat outside.

    Ответить | Сообщить модератору
    • Как настроить route-map, !*! Alexander, 09:43 , 05-Мрт-10 (4)
      >[оверквотинг удален]
      >>как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты
      >>идут через дмз на инсайд. Хочется что бы и прямые пакеты
      >>тоже ходили через асу. Это можно как-то сделать?
      >
      >Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT.
      >Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в
      >таком случае хосты будут видеть что к ним обращается хост из
      >их подсети и будут отвечать ему напрямую.
      >
      >ip nat outside.

      NAt на 6509? Такой вариант не подходит. Натом должна заниматься толька АСА. А вариантов с роут-мапом нет?

      Ответить | Сообщить модератору
      • Как настроить route-map, !*! Gbyte, 14:48 , 05-Мрт-10 (5)
        Есть вариант либо на 6509 из серверного вилана убрать ip address, либо НАТить юзеров в ИП-адрес сети вилана.

        Я лично других способов заставить хост идти в другой гейт не знаю.
        Либо прописать на серверах еще и маршрут в ЛАН не через АСУ, а через 6509.

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру