URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1462
[ Назад ]

Исходное сообщение
"Две сети в одном вилане ASA 5510"
Отправлено Renat , 28-Авг-14 21:35

Добрый вечер.
Есть подсеть 192.168.0.0/24 в которой сидят все рабочие станции и сервера. В качестве шлюза выступает ASA 5510 c ip 192.168.0.2, так же в этом VLAN есть еще одна подсеть 192.168.5.0/24 в который висят все ILO. Если нужен доступ к ILO, пользователи присваивают себе IP из подсети 192.168.5.0/24 это крайне не удобно, хочется иметь доступ к сети 192.168.5.0 не меняя в настройки сетевой карты.
Что сделано:
interface Ethernet0/0 Выход во внешнею сеть.
nameif outside
security-level 0
ip address x.x.x.x x.x.x.x
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.2 255.255.255.0
interface Ethernet0/2
nameif ILO
security-level 100
ip address 192.168.5.1 255.255.255.0

same-security-traffic permit inter-interface
nat (inside,ILO) source static lan lan destination static ILO ILO
На интерфейсе ILO gw 192.168.5.1
так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.
Такое вообще реально реально сделать? или это полный бред и нужно разводить по разным вилланам?

Содержание

Две сети в одном вилане ASA 5510,VolanD, 06:30 , 29-Авг-14
Две сети в одном вилане ASA 5510,Ivan, 05:17 , 03-Сен-14
Две сети в одном вилане ASA 5510,ShyLion, 08:43 , 03-Сен-14
Две сети в одном вилане ASA 5510,Merridius, 09:49 , 03-Сен-14
Две сети в одном вилане ASA 5510,Andrey, 14:39 , 03-Сен-14
- Две сети в одном вилане ASA 5510,Merridius, 16:39 , 03-Сен-14
  - Две сети в одном вилане ASA 5510,Renat, 11:05 , 17-Сен-14

Сообщения в этом обсуждении

"Две сети в одном вилане ASA 5510"
Отправлено VolanD , 29-Авг-14 06:30

>[оверквотинг удален]
> interface Ethernet0/2
>  nameif ILO
>  security-level 100
>  ip address 192.168.5.1 255.255.255.0
> same-security-traffic permit inter-interface
> nat (inside,ILO) source static lan lan destination static ILO ILO
> На интерфейсе ILO gw 192.168.5.1
> так  вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.
> Такое вообще реально реально сделать? или это полный бред и нужно разводить
> по разным вилланам?
А если на компе повесить секондари ИП? А так то конечно- разные вланы, а АСА- роутит.

"Две сети в одном вилане ASA 5510"
Отправлено Ivan , 03-Сен-14 05:17

Второй IP адрес на машине решит проблему. НО это не есть правильно.

"Две сети в одном вилане ASA 5510"
Отправлено ShyLion , 03-Сен-14 08:43

> interface Ethernet0/1
>  nameif inside
>  security-level 100
>  ip address 192.168.0.2 255.255.255.0
>  ip address 192.168.5.1 255.255.255.0 secondary
Ай. Это чудо не умеет secondary.

"Две сети в одном вилане ASA 5510"
Отправлено Merridius , 03-Сен-14 09:49

>[оверквотинг удален]
> interface Ethernet0/2
>  nameif ILO
>  security-level 100
>  ip address 192.168.5.1 255.255.255.0
> same-security-traffic permit inter-interface
> nat (inside,ILO) source static lan lan destination static ILO ILO
> На интерфейсе ILO gw 192.168.5.1
> так  вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.
> Такое вообще реально реально сделать? или это полный бред и нужно разводить
> по разным вилланам?
На коммутаторе STP включен? С чего вы взяли, что кольцо? На асе L3 интерфейсы, никаких колец не должно быть.

"Две сети в одном вилане ASA 5510"
Отправлено Andrey , 03-Сен-14 14:39

>[оверквотинг удален]
> interface Ethernet0/2
>  nameif ILO
>  security-level 100
>  ip address 192.168.5.1 255.255.255.0
> same-security-traffic permit inter-interface
> nat (inside,ILO) source static lan lan destination static ILO ILO
> На интерфейсе ILO gw 192.168.5.1
> так  вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.
> Такое вообще реально реально сделать? или это полный бред и нужно разводить
> по разным вилланам?
Разводите по VLAN - это правильный подход к организации сети с точки зрения элементарной безопасности и нормальной логики.
Если VLAN не ваш вариант - попробуйте это: https://supportforums.cisco.com/discussion/11668746/how-conf... , но не факт, что это будет полноценный вариант, который вам необходим.

"Две сети в одном вилане ASA 5510"
Отправлено Merridius , 03-Сен-14 16:39

>[оверквотинг удален]
>> nat (inside,ILO) source static lan lan destination static ILO ILO
>> На интерфейсе ILO gw 192.168.5.1
>> так вот когда включаю interface Ethernet0/2 получается кольцо и сеть падает.
>> Такое вообще реально реально сделать? или это полный бред и нужно разводить
>> по разным вилланам?
> Разводите по VLAN - это правильный подход к организации сети с точки
> зрения элементарной безопасности и нормальной логики.
> Если VLAN не ваш вариант - попробуйте это: https://supportforums.cisco.com/discussion/11668746/how-conf...
> , но не факт, что это будет полноценный вариант, который вам
> необходим.
На новых прошивках второй вариант не работает.

"Две сети в одном вилане ASA 5510"
Отправлено Renat , 17-Сен-14 11:05

> На новых прошивках второй вариант не работает.
Да вот в том то и проблема, что этот вариант работал раньше, а сейчас, он не дает сделать route inside. В общем по разным вилланам растаскивать.
Хотя и странно, а что если у меня VoIP телефоны в другой подсети, если по разным вилланам разносить то придется все порты к транк переводить.