всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:interface GigabitEthernet3/20
description -=asa2=-
switchport access vlan 130
switchport mode access
spanning-tree portfastinterface Vlan130
description -=asa2=-
ip address 172.16.220.24 255.255.255.0ip route 0.0.0.0 0.0.0.0 172.16.220.22
вот конфа самой второй асашки:
interface Ethernet0/1
description local
nameif inside
security-level 100
ip address 172.16.220.22 255.255.255.0access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 anyaccess-group acl_out_inside in interface inside
route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
буду рад любой помощи))
Они у тебя наверное все же должны работать в кластере ?
Потому как фантазии для такого включения кроме без балансировщиков,
что то придумать не могу.
> Они у тебя наверное все же должны работать в кластере ?
> Потому как фантазии для такого включения кроме без балансировщиков,
> что то придумать не могу.но если цель только в пинговании - icmp permit any IF_NAME :)
> Потому как фантазии для такого включения кроме без балансировщиков,Читать: "с балансировщиками".
эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их вроде нет
> эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их
> вроде нетТебе нужна отказоуcтойчивость ? Просто две ASA - весьма неэффективно, так как
в этом случае вторая железка не будет знать таблицу активных соедеинений первой и
при переходе (маршрутизаций, SLA, руками) - у тебя все соединения порвутся. В кластерном
варинте - у тебя пользователи даже не заметят переключения между ними при отказе или
плановом ремонте, один конфиг на две железки, всегда в актуальном состоянии, таблица
активных соединений постоянно реплецируется через выделенное соедиение между asa-ми.Про балансировщики - когда каналы, которые защищать становяться слишком толстыми и производительности FWSM, ASA не хватает, их ставят в работу вместе с балансировщиками (SLB, ACE), которые направляют соедиения и возвращают трафик через одну и туже железку. Получаем более мощный файрволл. Но это было актуально для скоростей выше 4Гб/с, а сейчас с выходом новых железок планка слегка подросла :)
пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников на одну асу, а клиентов оставить на старой. Сейчас добился того, что вторая аса пускает на себя мой отдельный комп, через каталист, но в нет он выхзодит все равно через первую, потому что маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то есть вся на первую асу, а на вторую стоит только сеть моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при этом нельзя отключать первую асу, так как работаем со многими людьми и нельзя менять маршрут на нне, че бы вот придумать)))
> пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников
> на одну асу, а клиентов оставить на старой. Сейчас добился того,
> что вторая аса пускает на себя мой отдельный комп, через каталист,
> но в нет он выхзодит все равно через первую, потому что
> маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то
> есть вся на первую асу, а на вторую стоит только сеть
> моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при
> этом нельзя отключать первую асу, так как работаем со многими людьми
> и нельзя менять маршрут на нне, че бы вот придумать)))Почему не сделать так?
http://i5.pixs.ru/storage/0/8/9/primerjpg_9389757_2926089.jpg
