URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23067
[ Назад ]

Исходное сообщение
"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 09:29

всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:
interface GigabitEthernet3/20
description -=asa2=-
switchport access vlan 130
switchport mode access
spanning-tree portfast
interface Vlan130
description -=asa2=-
ip address 172.16.220.24 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.16.220.22
вот конфа самой второй асашки:
interface Ethernet0/1
description local
nameif inside
security-level 100
ip address 172.16.220.22 255.255.255.0
access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
access-group acl_out_inside in interface inside
route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
буду рад любой помощи))

Содержание

не могу подцепить вторую асашку,Aleks305, 10:02 , 06-Сен-11
- не могу подцепить вторую асашку,himik.irk, 10:31 , 06-Сен-11
  - не могу подцепить вторую асашку,himik.irk, 10:34 , 06-Сен-11
    - не могу подцепить вторую асашку,dmitry, 10:58 , 06-Сен-11
      - не могу подцепить вторую асашку,himik.irk, 11:42 , 06-Сен-11
        
        не могу подцепить вторую асашку,dmitry, 11:58 , 06-Сен-11
        
        не могу подцепить вторую асашку,himik.irk, 12:50 , 06-Сен-11
        не могу подцепить вторую асашку,himik.irk, 10:48 , 07-Сен-11
        
        не могу подцепить вторую асашку,dmitry, 11:05 , 07-Сен-11
        
        не могу подцепить вторую асашку,Николай_kv, 11:22 , 07-Сен-11
        не могу подцепить вторую асашку,himik.irk, 11:54 , 07-Сен-11
        
        не могу подцепить вторую асашку,himik.irk, 11:56 , 07-Сен-11
        
        не могу подцепить вторую асашку,pancake, 12:06 , 08-Сен-11
        
        не могу подцепить вторую асашку,himik.irk, 04:29 , 09-Сен-11
        
        не могу подцепить вторую асашку,radashah22, 18:25 , 19-Сен-11
- не могу подцепить вторую асашку,radashah22, 18:34 , 19-Сен-11

Сообщения в этом обсуждении

"не могу подцепить вторую асашку"
Отправлено Aleks305 , 06-Сен-11 10:02

>[оверквотинг удален]
> description local
> nameif inside
> security-level 100
> ip address 172.16.220.22 255.255.255.0
> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
> access-group acl_out_inside in interface inside
> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
> буду рад любой помощи))
1) попробуйте на ASA сделать sub интерфейс и включить его в vlan 130
2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
route inside x.x.x.x x.x.x.x 172.16.220.24

"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 10:31

> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24
на последнюю команду такая реакция:
asa(config)# route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24
ERROR: Cannot add route, connected route exists
а делать саб мне кажется нет смысла, потому что вот конфига первой асашки(провайдер и канал соответственно другой):
interface Ethernet0/0
description -= Inside =-
nameif inside
security-level 90
ip address 172.16.210.2 255.255.255.0
interface Ethernet0/3
description -= Internet =-
nameif outside
security-level 0
ip address 195.xxx.xxx.34 255.255.255.240
route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.33 1
и все работает

"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 10:34

ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть и асашка, но изнутри пинг до асашки не доходит, и от нее точно так же не идет в сеть

"не могу подцепить вторую асашку"
Отправлено dmitry , 06-Сен-11 10:58

> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
> и асашка, но изнутри пинг до асашки не доходит, и от
> нее точно так же не идет в сеть
На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24

"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 11:42

>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>> и асашка, но изнутри пинг до асашки не доходит, и от
>> нее точно так же не идет в сеть
> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
а можно кодом пож-та?

"не могу подцепить вторую асашку"
Отправлено dmitry , 06-Сен-11 11:58

>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>> нее точно так же не идет в сеть
>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
> а можно кодом пож-та?
route {interface} {network} {mask} {next-hop} [{administrative distance}]
например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас локалка)

"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 12:50

> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)
завтра попробую, скажу, пасиб..

"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 10:48

>>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>>> нее точно так же не идет в сеть
>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>> а можно кодом пож-та?
> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)
пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но в нет выпускает все равно через первую, так как на каталисте маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную подсеть он все-таки роутил на асашку 2??

"не могу подцепить вторую асашку"
Отправлено dmitry , 07-Сен-11 11:05

>[оверквотинг удален]
>>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>>> а можно кодом пож-та?
>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>> локалка)
> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
> в нет выпускает все равно через первую, так как на каталисте
> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
> подсеть он все-таки роутил на асашку 2??
Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop указать asa2

"не могу подцепить вторую асашку"
Отправлено Николай_kv , 07-Сен-11 11:22

>[оверквотинг удален]
>>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>>> локалка)
>> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
>> в нет выпускает все равно через первую, так как на каталисте
>> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
>> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
>> подсеть он все-таки роутил на асашку 2??
> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2
Ну все я не выдержал, старался на этот пост не обращать внимания...
2 himik.irk - в чем тайный смысл второй АСЫ которую вы хотите "впихнуть" в свою топологию? "Шоб було" или есть какая-то функциональная нагрузка?
Если вы хотите распаралелить поток идущий по дефайлту то используйте failover active/stanby в зависимости от ограничений накладываемых сетью. Судя по всему у тебя бональная статика на интернет и отлично подойдет failover active если держит лицензия.
Все костыли с прописыванием доп. статики для выборочных подсетей на 4500 остануться костылями, поскольку не имеют гибкости и при выходе из строя одной из асы гарнтируют тебе работу во внерабочее время.

"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 11:54

> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2
прописал ip route 172.16.230.0 255.255.255.0 172.16.220.22 не хочет((
но и попробовал отключить первую асашку все-таки влет, и прописал route все на вторую, в нет не пустил((
В общем, ситуация такая сейчас: если я цепляю комп напрямую к асашке2, то все отлично выходит, если же через каталист его цепляю, то только через вторую пускает, хотя до первой пинг ходит спокойно(напомню схему: комп идет в каталист, так же параллельно в него идет локалка, из каталиста смотрят в нет 2 асашки)

"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 11:56

мне надо просто клиентов на одну асу пустить а сотрудников на другую))

"не могу подцепить вторую асашку"
Отправлено pancake , 08-Сен-11 12:06

> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
и вторую железяку заткнуть в VRF и все.

"не могу подцепить вторую асашку"
Отправлено himik.irk , 09-Сен-11 04:29

>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
> и вторую железяку заткнуть в VRF и все.
эмм...vrf это есть? (новичок в цисках)))

"не могу подцепить вторую асашку"
Отправлено radashah22 , 19-Сен-11 18:25

>>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
>> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
>> и вторую железяку заткнуть в VRF и все.
> эмм...vrf это есть? (новичок в цисках)))
ну я как поняла, вторую асашку вы с внутренней сети увидели все-таки, только вот чушь полнейшая была route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24
Как можно маршрутизировать внутреннюю сеть в провайдера, да еще через каталист, который гейтвеем потом возвращается опять в аса2??? У вас получается что каталист маршрутизирует запросы в асу1, а аса2 запросы в каталист, который в свою очередь опять форвардует в асу1. отдульные маршруты пропишите для локал сети1 в сторону аса1 и для локал сети2 в сторону аса2. На интерфейсе в асе включите нат.

"не могу подцепить вторую асашку"
Отправлено radashah22 , 19-Сен-11 18:34

>[оверквотинг удален]
>> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
>> access-group acl_out_inside in interface inside
>> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
>> буду рад любой помощи))
> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24
На всякий случай, саб-интерфейс делают в случае если порт свитча транковый, на саб-интерфейс прописывают инкапсуляцию с соответствующим виланом, чтобы трафик был тегированным