Доброе время суток!Имеется PIX 506E и 2 сети:
- за outside-интерфейсом, с ip 192.168.9.1 подключена сеть 192.168.9.0/24
- за inside, с ip 10.0.0.1 сеть 10.0.0.0/8Задача состоит в том, чтобы настроить маршрутизацию между сетями (не нат).
Возможно ли это? Гугление дпет неоднозначные ответы.. Многие говорят что невозможно, т.к. это фаерволл.
Заранее спасибо!
>Доброе время суток!
>
>Имеется PIX 506E и 2 сети:
>- за outside-интерфейсом, с ip 192.168.9.1 подключена сеть 192.168.9.0/24
>- за inside, с ip 10.0.0.1 сеть 10.0.0.0/8
>
>Задача состоит в том, чтобы настроить маршрутизацию между сетями (не нат).
>Возможно ли это? Гугление дпет неоднозначные ответы.. Многие говорят что невозможно, т.к.
>это фаерволл.
>Заранее спасибо!конечно, можно и статическую и динамическую ...
>[оверквотинг удален]
>>Имеется PIX 506E и 2 сети:
>>- за outside-интерфейсом, с ip 192.168.9.1 подключена сеть 192.168.9.0/24
>>- за inside, с ip 10.0.0.1 сеть 10.0.0.0/8
>>
>>Задача состоит в том, чтобы настроить маршрутизацию между сетями (не нат).
>>Возможно ли это? Гугление дпет неоднозначные ответы.. Многие говорят что невозможно, т.к.
>>это фаерволл.
>>Заранее спасибо!
>
>конечно, можно и статическую и динамическую ...Спасибо за обнадеживание!
Это радует :)
Настроил ip на inside/outside. sh route выдает:
inside 10.0.0.0 255.0.0.0 10.0.0.1 1 CONNECT static
outside 192.168.9.0 255.255.255.0 192.168.9.1 1 CONNECT static
На иосе этого обычно бывает достаточно (не беря во внимание аксесс-листы).
Но тут не работает. В какую сторону копать?
ЗЫ. А сколько она приблизительно сроутить то может?
А что не работает то? Что хотите сделать? Приведите конфиг.
Может просто acl не хватает?
IOS и PIX OS все же разные операционки...
По идеи, если с хоста из сетки 10.0.0./24 пинговать хост их сетки 192.168.9.0/24 результат будет положительный. А вот если пытаться с хоста из сетки 192.168.9.0/24 пинговать хост сетки 10.0.0./24, то результа будет отрицательный. Дело в том, что по-умолчанию инициативные соединения со стороны outside интерфейса в сторону inside интерфейса автоматически блокируются - ASA работает. Нужно acl писать...
>IOS и PIX OS все же разные операционки...
>По идеи, если с хоста из сетки 10.0.0./24 пинговать хост их сетки
>192.168.9.0/24 результат будет положительный. А вот если пытаться с хоста из
>сетки 192.168.9.0/24 пинговать хост сетки 10.0.0./24, то результа будет отрицательный. Дело
>в том, что по-умолчанию инициативные соединения со стороны outside интерфейса в
>сторону inside интерфейса автоматически блокируются - ASA работает. Нужно acl писать...
>Тогда попробую acl-ы построить. Люди говорят что ее и static'и надо строить..
Настроить ее как фаервол с натом не составляет больших проблем.А вот обычным роутером- как оказалось не тривиальная задача..
Как вы думаете, сможет он в роутящем (не натящем) режиме мегабит 50-70 вытянуть?
Может и смысла вовсе нет настраивать...
Насчет настройки его как маршрутизатора - PIX поддреживает следующие протоколы маршрутизации RIP OSPF. так лирическое отступление.
В Вашем же случае, я так понимаю нужен простой проброс из одной сети в другую, причем обе сети подключены к PIX. Как уже писал выше, нужно создать корректный acl и все.
Что касается производительности - 506Е способен фильтровть траффик со скоростью 100 Мбит/сек (данные производителя). Думаю, что 50-70 выдаст, 70 будет потолком.
>Насчет настройки его как маршрутизатора - PIX поддреживает следующие протоколы маршрутизации RIP
>OSPF. так лирическое отступление.
>В Вашем же случае, я так понимаю нужен простой проброс из одной
>сети в другую, причем обе сети подключены к PIX. Как уже
>писал выше, нужно создать корректный acl и все.
>Что касается производительности - 506Е способен фильтровть траффик со скоростью 100 Мбит/сек
>(данные производителя). Думаю, что 50-70 выдаст, 70 будет потолком.Спасибо за ответ. Думаю смысл строить есть:)
В моем случае надо проброс из одной в другую, и наоборот.
Т.е. за одним интерфейсом сеть, и за другим тоже сеть. PIX как шлюз для обеих сетей. Вот и нужно чтобы все машины в одной сети общались с машинами в другой. И наоборот