форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"ASA5510 + сервера с реальными IP внутри intranet"	+1 +/–
Сообщение от InterventOR on 15-Сен-10, 16:22
Бьюсь головой уже 3и сутки. Прочитал гору мануалов, но так и не понял следующего: Как реализовать схему роутера на основе ASA5510 Security plus? т.е. имеем 2 подсети. транспортную /30 на интерфейсе sel1 живую /26 на интерфейсе srv1 снаружи подсеть /26 зароучена на ип интерфейса sel1. не могу понять как настроить NAT, чтобы траффик пробегал в обе стороны (а-ля роутер). з.ы. иос 8.3.1
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ASA5510 + сервера с реальными IP внутри intranet"	+1 +/–
Сообщение от BJ (ok) on 15-Сен-10, 16:28
no nat-control access-list ANY extended permit ip any any access-group ANY in interface sel1 access-group ANY in interface srv1 всё :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 15-Сен-10, 16:54
	>no nat-control >access-list ANY extended permit ip any any >access-group ANY in interface sel1 >access-group ANY in interface srv1 > не помогло. траффик до sel1 от srv1 не доходит. icmp тоже. no nat-control is depricated on 8.3.1
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от BJ (ok) on 15-Сен-10, 17:16
	>не помогло. траффик до sel1 от srv1 не доходит. icmp тоже. >no nat-control is depricated on 8.3.1 security-level на интерфейсах какие ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 15-Сен-10, 17:19
	> >>не помогло. траффик до sel1 от srv1 не доходит. icmp тоже. >>no nat-control is depricated on 8.3.1 > >security-level на интерфейсах какие ? sel1 sec-level 0 srv1 sec-level 50
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от BJ (ok) on 15-Сен-10, 17:50
	А так? object network srv1 subnet A.B.C.0 255.255.255.192  ; /26 nat (sel1,srv1) source static srv1 srv1
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 15-Сен-10, 17:57
	>А так? > >object network srv1 > subnet A.B.C.0 255.255.255.192  ; /26 >nat (sel1,srv1) source static srv1 srv1 аналогично. свой gw пингует. дальше как будто deny any any стоит..
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от BJ (ok) on 15-Сен-10, 18:06
	packet-tracer надеюсь в 8.3 еще есть? packet-tracer input srv1 ..... дальше вопросиками поймете
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 15-Сен-10, 18:24
	> packet-tracer надеюсь в 8.3 еще есть? > >packet-tracer input srv1 ..... дальше вопросиками поймете режется. разумения не хватает понять где. cs# packet-tracer input sel1 rawip X.X.21.202 1 X.X.21.222 detailed Phase: 1 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in   X.X.21.216   255.255.255.248 srv1 Phase: 2 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in  id=0xac92c978, priority=500, domain=permit, deny=true         hits=2, user_data=0x6, cs_id=0x0, reverse, flags=0x0, protocol=0         src ip/id=cs-host, mask=255.255.255.255, port=0         dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0         input_ifc=sel1, output_ifc=any Result: input-interface: sel1 input-status: up input-line-status: up output-interface: srv1 output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от BJ (ok) on 15-Сен-10, 19:36
	Так acl вы повесили на интерфейс sel1 ? я же в 1-м ответе его не зря написал
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от sTALK_specTrum on 16-Сен-10, 01:04
	Вот ключевая фраза: >no nat-control is depricated on 8.3.1 Значит действуем по старинке access-list NoNatInside line 1 extended permit ip any any access-list NoNatOutside line 1 extended permit ip any any nat 0 (sel1) access-list NoNatOutside outside nat 0 (srv1) access-list NoNatInside
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 16-Сен-10, 11:54
	>nat 0 (sel1) access-list NoNatOutside outside >nat 0 (srv1) access-list NoNatInside cs(config)# nat 0 (sel1) access-list NoNatOutside outside                 ^ ERROR: % Invalid input detected at '^' marker.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
Сообщение от BJ (ok) on 16-Сен-10, 14:05
> >з.ы. иос 8.3.1 Тут либо поставьте стабильный 7.2(5) либо вкуривайте сей документ :) http://www.cisco.com/en/US/docs/security/asa/asa83/upgrading...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "ASA5510 + сервера с реальными IP внутри intranet"	+/–
	Сообщение от InterventOR on 16-Сен-10, 18:11
	>> >>з.ы. иос 8.3.1 > >Тут либо поставьте стабильный 7.2(5) либо вкуривайте сей документ :) > >http://www.cisco.com/en/US/docs/security/asa/asa83/upgrading... вкурил, всё настроил, спасибо за подробные ответы
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема