URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19070
[ Назад ]

Исходное сообщение
"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"

Отправлено AlexeyI , 15-Июн-09 17:24 
В общем получил циску ASA 5510 со следующим заданием
Есть
WAN - x.x.x.228
WAN1 - x.x.x.233
У них один общий шлюз x.x.x.225
(Вообще есть целый пулл адресов 226-254 со шлюзом 225, если это может оказаться важным)

Также есть две внутренние подсетки 192.168.2.0/24 и 192.168.3.0/24

Требуется сделать так, чтобы весь трафик с локальной подсети 192.168.2.0/24 во внешний мир шел через интерфейс WAN, а из локальной подсети 192.168.3.0/24 в WAN1.

Конфиг получившийся у меня чуть ниже, из 192.168.2.0 ходит все нормально, из 192.168.3.0 не хочет. Пакет трейсер пишет что где-то затык в НАТе, но никак не могу понять где =(
Еще вопрос привильно ли у меня сделаны статические роутинги под данную задачу? Что-то мне подсказывает что неправильно, тогда как надо?

Собственно конфиг:
: Saved
: Written by enable_15 at 15:34:54.827 EEDT Mon Jun 15 2009
!
ASA Version 8.0(2)
!
hostname Test
domain-name Test.Key
dns-guard
!
interface Ethernet0/0
nameif WAN
security-level 0
ip address x.x.x.228 255.255.255.248
!
interface Ethernet0/0.1
vlan 1
nameif WAN1
security-level 0
ip address x.x.x.233 255.255.255.252
!
interface Ethernet0/1
nameif Lan
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/1.2
vlan 2
nameif Lan3
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone EEST 3
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name Test.Key
access-list WAN_access_in extended permit icmp any any
access-list Wan1_access_in extended permit icmp any any
pager lines 24
logging enable
logging asdm informational
mtu management 1500
mtu WAN 1500
mtu Lan 1500
mtu Wan1 1500
mtu LAN3 1500
icmp unreachable rate-limit 1 burst-size 1
icmp deny any WAN
icmp permit any Lan
asdm image disk0:/asdm-611.bin
asdm history enable
arp timeout 14400
nat-control
global (WAN) 101 interface
global (Wan1) 102 interface
nat (management) 0 0.0.0.0 0.0.0.0
nat (Lan) 101 192.168.2.0 255.255.255.0
nat (LAN3) 102 192.168.3.0 255.255.255.0
access-group WAN_access_in in interface WAN
access-group Wan1_access_in in interface Wan1
route WAN 0.0.0.0 0.0.0.0 x.x.x.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt noproxyarp Lan
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
: end


Содержание

Сообщения в этом обсуждении
"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено huk , 15-Июн-09 17:58 
>interface Ethernet0/1.2
>vlan 2
>nameif Lan3
>security-level 100
>ip address 192.168.3.1 255.255.255.0

Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо задействуйте второй интерфейс Ethernet0/2.


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено huk , 15-Июн-09 18:00 
Тоже самое касается и
>interface Ethernet0/0.1
>vlan 1
>nameif WAN1
>security-level 0
>ip address x.x.x.233 255.255.255.252

"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 15-Июн-09 19:34 
>>interface Ethernet0/1.2
>>vlan 2
>>nameif Lan3
>>security-level 100
>>ip address 192.168.3.1 255.255.255.0
>
>Бред полный. Либо задействуйте Ethernet0/1.1 и Ethernet0/1.2 с соответствующими адресами (тогда просто
>у интерфейса Ethernet0/1 не должно быть никакого адреса и секьюрити), либо
>задействуйте второй интерфейс Ethernet0/2.

Сделал как Вы сказали, все равно не работает. =/
Вот последний конфиг, что теперь не так?
: Saved
: Written by enable_15 at 18:11:12.143 EEDT Mon Jun 15 2009
!
ASA Version 8.0(2)
!
hostname Test
domain-name Test.Key
dns-guard
!
interface Ethernet0/0
no nameif
no security-level
no ip address
!
interface Ethernet0/0.1
vlan 1
nameif WAN1
security-level 0
ip address x.x.x.228 255.255.255.248
!
interface Ethernet0/0.2
vlan 2
nameif WAN2
security-level 0
ip address x.x.x.233 255.255.255.248
!
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.1
vlan 11
nameif LAN1
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/1.2
vlan 12
nameif LAN2
security-level 100
ip address 192.168.3.254 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name Test.Key
pager lines 24
logging enable
logging asdm informational
mtu management 1500
mtu WAN1 1500
mtu LAN1 1500
mtu WAN2 1500
mtu LAN2 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-611.bin
asdm history enable
arp timeout 14400
global (WAN1) 101 interface
global (WAN2) 102 interface
nat (management) 0 0.0.0.0 0.0.0.0
nat (LAN1) 101 192.168.2.0 255.255.255.0
nat (LAN2) 102 192.168.3.0 255.255.255.0
route WAN1 0.0.0.0 0.0.0.0 x.x.x.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f07042d085eed66ae1750089be80644e
: end


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено shadow_alone , 15-Июн-09 23:46 
действительно хрень полная.
Вам что по определенному vlan приходит наружка?
нет.
ну тогда смотрите в сторону route-map и next-hop

"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено chocholl , 16-Июн-09 08:46 
>действительно хрень полная.
>Вам что по определенному vlan приходит наружка?
>нет.
>ну тогда смотрите в сторону route-map и next-hop

аса не умеет ни того, ни другого.
автору: читайте про контексты (security context)


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 16-Июн-09 10:45 
>автору: читайте про контексты (security context)

Licensed features for this platform:
Maximum Physical Interfaces  : Unlimited
Maximum VLANs                : 50
Inside Hosts                 : Unlimited
Failover                     : Disabled
VPN-DES                      : Enabled
VPN-3DES-AES                 : Enabled
Security Contexts            : 0
GTP/GPRS                     : Disabled
VPN Peers                    : 250
WebVPN Peers                 : 2
Advanced Endpoint Assessment : Disabled

This platform has a Base license.

Я правильно понимаю что мне надо сперва купить лицензию Security Plus?


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено mario , 16-Июн-09 09:54 
>[оверквотинг удален]
>  inspect sunrpc
>  inspect xdmcp
>  inspect sip
>  inspect netbios
>  inspect tftp
>!
>service-policy global_policy global
>prompt hostname context
>Cryptochecksum:f07042d085eed66ae1750089be80644e
>: end

а как вообще может быть 1 шлюз для 2-х подсетей ?
соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2.
и будет вам счастье :)


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 16-Июн-09 10:20 

>а как вообще может быть 1 шлюз для 2-х подсетей ?
>соответственно нужен дефолтный шлюз для подсети которая живет на интерфейсе WAN2.
>и будет вам счастье :)

Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот пул один. Циска не дает указывать тот же самый шлюз для двух разных айпишников. Я так и не придумал как обойти этот момент, может перед циской поставить какую-то еще железку которая разобьет пул провайдера на несколько меньших... но что тогда за железка мне нужна?

Ушел пока читать про security context


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено i10xff , 16-Июн-09 11:10 
>Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот
>пул один. Циска не дает указывать тот же самый шлюз для
>двух разных айпишников. Я так и не придумал как обойти этот
>момент, может перед циской поставить какую-то еще железку которая разобьет пул
>провайдера на несколько меньших... но что тогда за железка мне нужна?
>

То есть ваша задача - выпустить внутренние сети наружу под двумя разными публичными IP ?
Если так - то весь этот огород с разными сабинтерфесами ( wan1 и wan2 ) на фиг не нужен, достаточно просто два разных global'а сделать.
То есть:
---
global (WAN1) 101 interface
global (WAN1) 102 x.x.x.233
nat (LAN1) 101 192.168.2.0 255.255.255.0
nat (LAN2) 102 192.168.3.0 255.255.255.0
---
Интерфейс wan2 и все воспоминания о нем в таблицах MAC-адресов на соседних устройствах надо убрать.


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 16-Июн-09 16:48 
Большое спасибо за совет. Так заработало.

Теперь есть другая проблема. Не ходят пинги из внутренних сетей до шлюзов 192.168.2.254 и 192.168.3.254. т.е. если вешаешь все на обычные интерфейсы то все работает, если на vlan то все отрубает нафиг.
В документации я почитал что надо сделать следующее:

Step 1 To specify the switch port you want to configure, enter the following command:
hostname(config)# interface ethernet0/port
Where port is 0 through 7. For example, enter the following command:
hostname(config)# interface ethernet0/1

Step 2 To assign this switch port to a VLAN, enter the following command:
hostname(config-if)# switchport access vlan number
Where number is the VLAN ID, between 1 and 4090.

Беда в том что команда switchport почему-то отсутствует и у меня не получается дать понять виртуальным интерфейсам (ethernet0/1.1 и ethernet0/1.2) со своими подсетями что они должны работать через конкретый физический интерфейс ethernet0/1. Какую команду ковырять взамен switchport?


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено i10xff , 16-Июн-09 17:46 
А это мы про какое оборудование сейчас говорим ?
Все еще ASA или уже какой-то коммутатор внутри ?

"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 16-Июн-09 18:03 
>А это мы про какое оборудование сейчас говорим ?
>Все еще ASA или уже какой-то коммутатор внутри ?

ASA 5510

Вот как ругается в консоли:

ciscoasa# conf t
ciscoasa(config)# int e0/1
ciscoasa(config-if)# sw?
ERROR: % Unrecognized command
ciscoasa(config-if)# exit
ciscoasa(config)# int e0/1.1
ciscoasa(config-subif)# sw?
ERROR: % Unrecognized command
ciscoasa(config-subif)#


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено i10xff , 16-Июн-09 18:25 
Собственно говоря, на ASA вы уже все это сделали вот этими командами:
---
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/1.1
vlan 11
nameif LAN1
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface Ethernet0/1.2
vlan 12
nameif LAN2
security-level 100
ip address 192.168.3.254 255.255.255.0
---
То есть - у вас есть два сабинтерфейса с vlan'ами 11 и 12, и один транк ( собственно, сам e0/1 ). Теперь ваша задача - принять этот транк ( 802.1q ) на порту коммутатора, к которому подключен e1/0 и дальше уже раскидать VLAN'ы.
Если стоящее внутри железо не умеет обрабатывать 802.1q, то надо будет раскидать внутренние сети по разным физическим интерфейсам ASA.

"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено i10xff , 16-Июн-09 18:27 
>к которому подключен e1/0 и дальше уже раскидать VLAN'ы.

э-э.. поправка: "к которому подключен e0/1"


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено AlexeyI , 16-Июн-09 18:53 
Кажется начинаю понимать.
Ушел ковырять коммутатор в который смотрит циска по порту e0/1



"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено mario , 16-Июн-09 16:07 
>[оверквотинг удален]
>>и будет вам счастье :)
>
>Очень просто, есть провайдер который выдал пул адресов. Соответственно шлюз на этот
>пул один. Циска не дает указывать тот же самый шлюз для
>двух разных айпишников. Я так и не придумал как обойти этот
>момент, может перед циской поставить какую-то еще железку которая разобьет пул
>провайдера на несколько меньших... но что тогда за железка мне нужна?
>
>
>Ушел пока читать про security context

зачем бить маленькую сеть на подсети ?
какие цели приследуете
можно попробовать так:
берете вашу сетку кторая со шлюзом от прова т.е. брете ххх.224/29 я так понимаю у вас больше сеть чем эта.(можно уточнить кстатии)
в общем оставляете на циске, которая смотрит на прова сетку ххх.224/30
и так же вешаем доп сеть на циску (ххх.228/30)1 на циске один на асе и другую сеть которая на нерабочем wan-e сидит ее так же берете один из айпи из этой сетки на циску и на асу .дефолтом на асе прописываем соотвественно указанные на циске адреса.
все.  


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено mario , 16-Июн-09 11:01 
>[оверквотинг удален]
>  inspect sunrpc
>  inspect xdmcp
>  inspect sip
>  inspect netbios
>  inspect tftp
>!
>service-policy global_policy global
>prompt hostname context
>Cryptochecksum:f07042d085eed66ae1750089be80644e
>: end

как вообще может быть один шлюз для 2-х подсетей?
узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248
и пропишите дефолтный шлюз на асе.


"ASA 5510 несколько внешних и внутренних интерфейсов. Как?"
Отправлено huk , 16-Июн-09 12:53 
>[оверквотинг удален]
>>  inspect tftp
>>!
>>service-policy global_policy global
>>prompt hostname context
>>Cryptochecksum:f07042d085eed66ae1750089be80644e
>>: end
>
>как вообще может быть один шлюз для 2-х подсетей?
>узнайте шлюз для подсети ip address x.x.x.233 255.255.255.248
>и пропишите дефолтный шлюз на асе.

во-во... сделаны подсети... а шлюз один...
если я в подсчетах не ошибся (в уме считал), то получается у автора так:
1. две подсети: x.x.x.224/29 и x.x.x.232/30
2. Адреса, которые могут быть использованы в этих подсетях:
a) x.x.x.225/29 - x.x.x.230/29
b) x.x.x.233/30 - x.x.x.234/30
Автор, подумайте, плиз, все-таки над шлюзом...