форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Как настроить route-map"		+/–
Сообщение от Alexander (??) on 04-Мрт-10, 17:55
Добрый день. есть такая задачка.. схема тут :http://s003.radikal.ru/i202/1003/c1/50e0528bdca5.jpg Нужно зарулить сеть 10.1.190.0 через асу в дмз на 6509 есть маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 10.2.28.4 для того что бы пустить 190 влан по другому маршруту. т.е. хосты из 190 влана должны ходить через интерфейс асы инсайд через нат в оутсайд и собственно к двум хостам в дмз. написав роутмап я заставих хосты из 190 влана ходить через инсайд в оутсайд, но как мне зароутить что бы хосты из 190 влана ходили в дмз через инсайд именно на два этих хоста 10.1.1.150 и 151 на 6509 interface Vlan101                                                               description TEST2                                                                 ip address 10.1.1.1 255.255.255.0                                               ip helper-address 192.168.18.16                                                 no ip redirects interface Vlan190                                                               description TEST                                                               ip address 10.1.190.1 255.255.255.0                                             ip helper-address 192.168.18.16                                                 no ip redirects                                                                 ip policy route-map net-TEST ip access-list extended Vlan_route deny ip any any ip access-list extended vlan_TEST                                               permit ip 10.1.190.0 0.0.0.255 any route-map net-TEST deny 10                                                       match ip address Vlan_route   route-map net-TEST permit 20                                                     match ip address vlan_TEST                                                     set ip next-hop 10.2.26.4 в данном случае.. если я обращаюсь к внешним хостам, то иду через инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151 я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты идут через дмз на инсайд. Хочется что бы и прямые пакеты тоже ходили через асу. Это можно как-то сделать?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как настроить route-map"		+/–
Сообщение от GByte (??) on 04-Мрт-10, 18:45
В чем сакральный смысл DMZ, если у 6509 в этой сети есть IP? DMZ и строится для того чтобы изолировать сервера доступные из интернета и контролировать их доступ к LAN. Получается DMZ становится дырявой. Может дизайн пересмотреть? чтобы потом небыло мучительно больно...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Как настроить route-map"		+/–
	Сообщение от Alexander (??) on 05-Мрт-10, 09:42
	>В чем сакральный смысл DMZ, если у 6509 в этой сети есть >IP? > >DMZ и строится для того чтобы изолировать сервера доступные из интернета и >контролировать их доступ к LAN. > >Получается DMZ становится дырявой. > >Может дизайн пересмотреть? чтобы потом небыло мучительно больно... Это понятно. Ситуация такая, есть серверный влан 101, живет он на 6509, купили асу, хотим построить как положено, что бы пользователи к серверам ходили через асу, без ната в дмз, в мир ессесно через нат. Выделили 2 сервака и на них хотим протестить такую схему.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Как настроить route-map"		+/–
Сообщение от GByte (??) on 04-Мрт-10, 18:49
> >в данном случае.. если я обращаюсь к внешним хостам, то иду через >инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151 >я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так >как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты >идут через дмз на инсайд. Хочется что бы и прямые пакеты >тоже ходили через асу. Это можно как-то сделать? Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT. Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в таком случае хосты будут видеть что к ним обращается хост из их подсети и будут отвечать ему напрямую. ip nat outside.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Как настроить route-map"		+/–
	Сообщение от Alexander (??) on 05-Мрт-10, 09:43
	>[оверквотинг удален] >>как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты >>идут через дмз на инсайд. Хочется что бы и прямые пакеты >>тоже ходили через асу. Это можно как-то сделать? > >Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT. >Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в >таком случае хосты будут видеть что к ним обращается хост из >их подсети и будут отвечать ему напрямую. > >ip nat outside. NAt на 6509? Такой вариант не подходит. Натом должна заниматься толька АСА. А вариантов с роут-мапом нет?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Как настроить route-map"		+/–
	Сообщение от Gbyte (ok) on 05-Мрт-10, 14:48
	Есть вариант либо на 6509 из серверного вилана убрать ip address, либо НАТить юзеров в ИП-адрес сети вилана. Я лично других способов заставить хост идти в другой гейт не знаю. Либо прописать на серверах еще и маршрут в ЛАН не через АСУ, а через 6509.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема