Коллеги, так имеет задача решение на PIX-506Е (прошивка 6.3) или нет? Еще раз суть задачи:
1. Есть PIX с внешним адресом ВА на интерфейсе outside, между внутренним и внешним интерфейсом - NAT (внутренние адреса серые, внешний - белый).
2. Есть два сервера во внутренней сети с адресами ЛА1 и ЛА2
3. При обращении из внешней сети (Интернета) на адрес ВА с адреса К1, запрос должен уходить к ЛА1, соответственно с адреса К2 - на адрес ЛА2.Данный вопрос здесь на форуме поднимался, но ответа не было, были только предложения сменить постановку задачи (развести запросы по портам и т.д.).
Вроде бы под эту задачу просится использование static со ссылкой на ACL, но как-то не получается его применить.
В документации Cisco во всех примерах решается прямо противоположная задача - один внутренний адрес выпускается во-вне с двух внешних.
>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.А что конкретно не получается?
>>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>>но как-то не получается его применить.
>
>А что конкретно не получается?Не получается вот что:
1. Теория. По формату команды ACL ставится вместо локального адреса. Где-то так:access-list 100 permit ip host ЛА1 host К1
static (inside,outside) ВА access-list 100Т.е. в ACL я должен описать трафик между адресом клиента и ЛОКАЛЬНЫМ адресом. Но клиент обращается к внешнему адресу, не к внутреннему! Т.е. его трафик по этому ACL не опознается! А если в ACL указать
access-list 100 permit ip host ВА host К1
то получается, что локальные адреса в этой конструкции вообще отсутствуют!
2. Практика. Абстрагируясь от записи собственно ACL получается, что я должен написать
static (inside,outside) ВА access-list 100
static (inside,outside) ВА access-list 101При попытке ввести вторую команду появляется сообщение об ошибке дублирования ВА...
>[оверквотинг удален]
>К1, запрос должен уходить к ЛА1, соответственно с адреса К2 -
>на адрес ЛА2.
>
>Данный вопрос здесь на форуме поднимался, но ответа не было, были только
>предложения сменить постановку задачи (развести запросы по портам и т.д.).
>
>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.
>В документации Cisco во всех примерах решается прямо противоположная задача - один
>внутренний адрес выпускается во-вне с двух внешних.Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить оба адреса Ла
>
>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>оба адреса Ла
>А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно говоря, не вижу (в данной ситуации) разницы между именованным и стандартным ACL... Чего-то недопонимаю?
>>
>>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>>оба адреса Ла
>>
>
>А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно
>говоря, не вижу (в данной ситуации) разницы между именованным и стандартным
>ACL... Чего-то недопонимаю?Вдогонку - опять же, как повлияет смена типа ACL на невозможность использовать один внешний адрес в двух командах static?