форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Помогите разобраться с маршрутизацией ASA 5510"

Сообщение от Bronya (ok) on 23-Апр-08, 11:31

Ситуация такая, есть в локалке 2 маршрутизатора. Первый для инета, второй - корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. мимо первого. Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через асу - все работает. Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как в такой ситуации сделать исключающее правило?!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите разобраться с маршрутизацией ASA 5510"

Сообщение от ВОЛКА (ok) on 23-Апр-08, 11:48

>[оверквотинг удален] >корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем >соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким >образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. >мимо первого. >Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и >udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно >tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через >асу - все работает. >Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как >в такой ситуации сделать исключающее правило?! ну так сделайте, чтобы весь трафик проходил через ASA иначе нафиг вы ее вообще поставили?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Помогите разобраться с маршрутизацией ASA 5510"
	Сообщение от Bronya (ok) on 23-Апр-08, 12:10
	>[оверквотинг удален] >>мимо первого. >>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и >>udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно >>tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через >>асу - все работает. >>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как >>в такой ситуации сделать исключающее правило?! > >ну так сделайте, чтобы весь трафик проходил через ASA >иначе нафиг вы ее вообще поставили? Так оно и будет, просто пока нужна именно такая схема. ------------- Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает на рабочую станцию динамический маршрут на второй маршрутизатор и после этого соединение устанавливается как надо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Помогите разобраться с маршрутизацией ASA 5510"
	Сообщение от ВОЛКА (ok) on 23-Апр-08, 13:48
	>[оверквотинг удален] >>ну так сделайте, чтобы весь трафик проходил через ASA >>иначе нафиг вы ее вообще поставили? > >Так оно и будет, просто пока нужна именно такая схема. > >------------- > >Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает >на рабочую станцию динамический маршрут на второй маршрутизатор и после этого >соединение устанавливается как надо. вам надоотключить tcp рандомизацию PIX515(config)# policy-map global_policy PIX515(config-pmap)#  class inspection_default PIX515(config-pmap-c)# set connection random-sequence-number ? mpf-policy-map-class mode commands/options:   disable  Disable TCP sequence number randomization   enable   Enable TCP sequence number randomization
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]