forum.opennet.ru - "не могу подцепить вторую асашку" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"не могу подцепить вторую асашку"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"не могу подцепить вторую асашку"	+/–
Сообщение от himik.irk (ok) on 06-Сен-11, 09:20
всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку: interface GigabitEthernet3/20 description -=asa2=- switchport access vlan 130 switchport mode access spanning-tree portfast interface Vlan130 description -=asa2=- ip address 172.16.220.24 255.255.255.0 ip route 0.0.0.0 0.0.0.0 172.16.220.22 вот конфа самой второй асашки: interface Ethernet0/1 description local nameif inside security-level 100 ip address 172.16.220.22 255.255.255.0 access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any access-group acl_out_inside in interface inside route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1 буду рад любой помощи))
Ответить \| Правка \| Cообщить модератору

Оглавление

не могу подцепить вторую асашку, pancake, 11:01 , 06-Сен-11, (1)

не могу подцепить вторую асашку, pancake, 11:04 , 06-Сен-11, (2)
не могу подцепить вторую асашку, pancake, 11:06 , 06-Сен-11, (3)

не могу подцепить вторую асашку, himik.irk, 11:26 , 06-Сен-11, (4)

не могу подцепить вторую асашку, pancake, 05:12 , 07-Сен-11, (5)

не могу подцепить вторую асашку, himik.irk, 10:31 , 07-Сен-11, (6)

не могу подцепить вторую асашку, Николай_kv, 11:41 , 07-Сен-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "не могу подцепить вторую асашку" +/–

Сообщение от pancake on 06-Сен-11, 11:01

Они у тебя наверное все же должны работать в кластере ?
Потому как фантазии для такого включения кроме без балансировщиков,
что то придумать не могу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не могу подцепить вторую асашку" +/–

Сообщение от pancake on 06-Сен-11, 11:04

> Они у тебя наверное все же должны работать в кластере ?
> Потому как фантазии для такого включения кроме без балансировщиков,
> что то придумать не могу.
но если цель только в пинговании - icmp permit any IF_NAME :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "не могу подцепить вторую асашку" +/–

Сообщение от pancake on 06-Сен-11, 11:06

> Потому как фантазии для такого включения кроме без балансировщиков,
Читать: "с балансировщиками".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "не могу подцепить вторую асашку" +/–

Сообщение от himik.irk (ok) on 06-Сен-11, 11:26

эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их вроде нет

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "не могу подцепить вторую асашку" +/–

Сообщение от pancake on 07-Сен-11, 05:12

> эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их
> вроде нет
Тебе нужна отказоуcтойчивость ? Просто две ASA - весьма неэффективно, так как
в этом случае вторая железка не будет знать таблицу активных соедеинений первой и
при переходе (маршрутизаций, SLA, руками) - у тебя все соединения порвутся. В кластерном
варинте - у тебя пользователи даже не заметят переключения между ними при отказе или
плановом ремонте, один конфиг на две железки, всегда в актуальном состоянии, таблица
активных соединений постоянно реплецируется через выделенное соедиение между asa-ми.
Про балансировщики - когда каналы, которые защищать становяться слишком толстыми и производительности FWSM, ASA не хватает, их ставят в работу вместе с балансировщиками (SLB, ACE), которые направляют соедиения и возвращают трафик через одну и туже железку. Получаем более мощный файрволл. Но это было актуально для скоростей выше 4Гб/с, а сейчас с выходом новых железок планка слегка подросла :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "не могу подцепить вторую асашку" +/–

Сообщение от himik.irk (ok) on 07-Сен-11, 10:31

пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников на одну асу, а клиентов оставить на старой. Сейчас добился того, что вторая аса пускает на себя мой отдельный комп, через каталист, но в нет он выхзодит все равно через первую, потому что маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то есть вся на первую асу, а на вторую стоит только сеть моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при этом нельзя отключать первую асу, так как работаем со многими людьми и нельзя менять маршрут на нне, че бы вот придумать)))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "не могу подцепить вторую асашку" +/–

Сообщение от Николай_kv on 07-Сен-11, 11:41

> пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников
> на одну асу, а клиентов оставить на старой. Сейчас добился того,
> что вторая аса пускает на себя мой отдельный комп, через каталист,
> но в нет он выхзодит все равно через первую, потому что
> маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то
> есть вся на первую асу, а на вторую стоит только сеть
> моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при
> этом нельзя отключать первую асу, так как работаем со многими людьми
> и нельзя менять маршрут на нне, че бы вот придумать)))
Почему не сделать так?
http://i5.pixs.ru/storage/0/8/9/primerjpg_9389757_2926089.jpg

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "не могу подцепить вторую асашку"	+/–
Сообщение от pancake on 06-Сен-11, 11:01
Они у тебя наверное все же должны работать в кластере ? Потому как фантазии для такого включения кроме без балансировщиков, что то придумать не могу.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "не могу подцепить вторую асашку"	+/–
	Сообщение от pancake on 06-Сен-11, 11:04
	> Они у тебя наверное все же должны работать в кластере ? > Потому как фантазии для такого включения кроме без балансировщиков, > что то придумать не могу. но если цель только в пинговании - icmp permit any IF_NAME :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "не могу подцепить вторую асашку"	+/–
	Сообщение от pancake on 06-Сен-11, 11:06
	> Потому как фантазии для такого включения кроме без балансировщиков, Читать: "с балансировщиками".
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "не могу подцепить вторую асашку"	+/–
	Сообщение от himik.irk (ok) on 06-Сен-11, 11:26
	эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их вроде нет
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "не могу подцепить вторую асашку"	+/–
	Сообщение от pancake on 07-Сен-11, 05:12
	> эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их > вроде нет Тебе нужна отказоуcтойчивость ? Просто две ASA - весьма неэффективно, так как в этом случае вторая железка не будет знать таблицу активных соедеинений первой и при переходе (маршрутизаций, SLA, руками) - у тебя все соединения порвутся. В кластерном варинте - у тебя пользователи даже не заметят переключения между ними при отказе или плановом ремонте, один конфиг на две железки, всегда в актуальном состоянии, таблица активных соединений постоянно реплецируется через выделенное соедиение между asa-ми. Про балансировщики - когда каналы, которые защищать становяться слишком толстыми и производительности FWSM, ASA не хватает, их ставят в работу вместе с балансировщиками (SLB, ACE), которые направляют соедиения и возвращают трафик через одну и туже железку. Получаем более мощный файрволл. Но это было актуально для скоростей выше 4Гб/с, а сейчас с выходом новых железок планка слегка подросла :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "не могу подцепить вторую асашку"	+/–
	Сообщение от himik.irk (ok) on 07-Сен-11, 10:31
	пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников на одну асу, а клиентов оставить на старой. Сейчас добился того, что вторая аса пускает на себя мой отдельный комп, через каталист, но в нет он выхзодит все равно через первую, потому что маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то есть вся на первую асу, а на вторую стоит только сеть моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при этом нельзя отключать первую асу, так как работаем со многими людьми и нельзя менять маршрут на нне, че бы вот придумать)))
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "не могу подцепить вторую асашку"	+/–
	Сообщение от Николай_kv on 07-Сен-11, 11:41
	> пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников > на одну асу, а клиентов оставить на старой. Сейчас добился того, > что вторая аса пускает на себя мой отдельный комп, через каталист, > но в нет он выхзодит все равно через первую, потому что > маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то > есть вся на первую асу, а на вторую стоит только сеть > моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при > этом нельзя отключать первую асу, так как работаем со многими людьми > и нельзя менять маршрут на нне, че бы вот придумать))) Почему не сделать так? http://i5.pixs.ru/storage/0/8/9/primerjpg_9389757_2926089.jpg
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору