всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:
interface GigabitEthernet3/20
description -=asa2=-
switchport access vlan 130
switchport mode access
spanning-tree portfastinterface Vlan130
description -=asa2=-
ip address 172.16.220.24 255.255.255.0ip route 0.0.0.0 0.0.0.0 172.16.220.22
вот конфа самой второй асашки:
interface Ethernet0/1
description local
nameif inside
security-level 100
ip address 172.16.220.22 255.255.255.0access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 anyaccess-group acl_out_inside in interface inside
route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
буду рад любой помощи))
>[оверквотинг удален]
> description local
> nameif inside
> security-level 100
> ip address 172.16.220.22 255.255.255.0
> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
> access-group acl_out_inside in interface inside
> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
> буду рад любой помощи))1) попробуйте на ASA сделать sub интерфейс и включить его в vlan 130
2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
route inside x.x.x.x x.x.x.x 172.16.220.24
> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24на последнюю команду такая реакция:
asa(config)# route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24
ERROR: Cannot add route, connected route existsа делать саб мне кажется нет смысла, потому что вот конфига первой асашки(провайдер и канал соответственно другой):
interface Ethernet0/0
description -= Inside =-
nameif inside
security-level 90
ip address 172.16.210.2 255.255.255.0interface Ethernet0/3
description -= Internet =-
nameif outside
security-level 0
ip address 195.xxx.xxx.34 255.255.255.240route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.33 1
и все работает
ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть и асашка, но изнутри пинг до асашки не доходит, и от нее точно так же не идет в сеть
> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
> и асашка, но изнутри пинг до асашки не доходит, и от
> нее точно так же не идет в сетьНа асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>> и асашка, но изнутри пинг до асашки не доходит, и от
>> нее точно так же не идет в сеть
> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24а можно кодом пож-та?
>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>> нее точно так же не идет в сеть
>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
> а можно кодом пож-та?route {interface} {network} {mask} {next-hop} [{administrative distance}]
например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас локалка)
> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)завтра попробую, скажу, пасиб..
>>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>>> нее точно так же не идет в сеть
>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>> а можно кодом пож-та?
> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но в нет выпускает все равно через первую, так как на каталисте маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную подсеть он все-таки роутил на асашку 2??
>[оверквотинг удален]
>>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>>> а можно кодом пож-та?
>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>> локалка)
> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
> в нет выпускает все равно через первую, так как на каталисте
> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
> подсеть он все-таки роутил на асашку 2??Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop указать asa2
>[оверквотинг удален]
>>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>>> локалка)
>> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
>> в нет выпускает все равно через первую, так как на каталисте
>> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
>> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
>> подсеть он все-таки роутил на асашку 2??
> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2Ну все я не выдержал, старался на этот пост не обращать внимания...
2 himik.irk - в чем тайный смысл второй АСЫ которую вы хотите "впихнуть" в свою топологию? "Шоб було" или есть какая-то функциональная нагрузка?
Если вы хотите распаралелить поток идущий по дефайлту то используйте failover active/stanby в зависимости от ограничений накладываемых сетью. Судя по всему у тебя бональная статика на интернет и отлично подойдет failover active если держит лицензия.
Все костыли с прописыванием доп. статики для выборочных подсетей на 4500 остануться костылями, поскольку не имеют гибкости и при выходе из строя одной из асы гарнтируют тебе работу во внерабочее время.
> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2прописал ip route 172.16.230.0 255.255.255.0 172.16.220.22 не хочет((
но и попробовал отключить первую асашку все-таки влет, и прописал route все на вторую, в нет не пустил((
В общем, ситуация такая сейчас: если я цепляю комп напрямую к асашке2, то все отлично выходит, если же через каталист его цепляю, то только через вторую пускает, хотя до первой пинг ходит спокойно(напомню схему: комп идет в каталист, так же параллельно в него идет локалка, из каталиста смотрят в нет 2 асашки)
мне надо просто клиентов на одну асу пустить а сотрудников на другую))
> мне надо просто клиентов на одну асу пустить а сотрудников на другую))Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
и вторую железяку заткнуть в VRF и все.
>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
> и вторую железяку заткнуть в VRF и все.эмм...vrf это есть? (новичок в цисках)))
>>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
>> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
>> и вторую железяку заткнуть в VRF и все.
> эмм...vrf это есть? (новичок в цисках)))ну я как поняла, вторую асашку вы с внутренней сети увидели все-таки, только вот чушь полнейшая была route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24
Как можно маршрутизировать внутреннюю сеть в провайдера, да еще через каталист, который гейтвеем потом возвращается опять в аса2??? У вас получается что каталист маршрутизирует запросы в асу1, а аса2 запросы в каталист, который в свою очередь опять форвардует в асу1. отдульные маршруты пропишите для локал сети1 в сторону аса1 и для локал сети2 в сторону аса2. На интерфейсе в асе включите нат.
>[оверквотинг удален]
>> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
>> access-group acl_out_inside in interface inside
>> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
>> буду рад любой помощи))
> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24На всякий случай, саб-интерфейс делают в случае если порт свитча транковый, на саб-интерфейс прописывают инкапсуляцию с соответствующим виланом, чтобы трафик был тегированным