URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23067
[ Назад ]

Исходное сообщение
"не могу подцепить вторую асашку"

Отправлено himik.irk , 06-Сен-11 09:29 
всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:
interface GigabitEthernet3/20
description -=asa2=-
switchport access vlan 130
switchport mode access
spanning-tree portfast

interface Vlan130
description -=asa2=-
ip address 172.16.220.24 255.255.255.0

ip route 0.0.0.0 0.0.0.0 172.16.220.22

вот конфа самой второй асашки:

interface Ethernet0/1
description local
nameif inside
security-level 100
ip address 172.16.220.22 255.255.255.0

access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any

access-group acl_out_inside in interface inside

route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1

буду рад любой помощи))


Содержание

Сообщения в этом обсуждении
"не могу подцепить вторую асашку"
Отправлено Aleks305 , 06-Сен-11 10:02 
>[оверквотинг удален]
> description local
> nameif inside
> security-level 100
> ip address 172.16.220.22 255.255.255.0
> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
> access-group acl_out_inside in interface inside
> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
> буду рад любой помощи))

1) попробуйте на ASA сделать sub интерфейс и включить его в vlan 130
2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
route inside x.x.x.x x.x.x.x 172.16.220.24


"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 10:31 
> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24

на последнюю команду такая реакция:

asa(config)# route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24
ERROR: Cannot add route, connected route exists

а делать саб мне кажется нет смысла, потому что вот конфига первой асашки(провайдер и канал соответственно другой):

interface Ethernet0/0
description -= Inside =-
nameif inside
security-level 90
ip address 172.16.210.2 255.255.255.0

interface Ethernet0/3
description -= Internet =-
nameif outside
security-level 0
ip address 195.xxx.xxx.34 255.255.255.240

route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.33 1

и все работает


"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 10:34 
ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть и асашка, но изнутри пинг до асашки не доходит, и от нее точно так же не идет в сеть

"не могу подцепить вторую асашку"
Отправлено dmitry , 06-Сен-11 10:58 
> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
> и асашка, но изнутри пинг до асашки не доходит, и от
> нее точно так же не идет в сеть

На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24


"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 11:42 
>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>> и асашка, но изнутри пинг до асашки не доходит, и от
>> нее точно так же не идет в сеть
> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24

а можно кодом пож-та?


"не могу подцепить вторую асашку"
Отправлено dmitry , 06-Сен-11 11:58 
>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>> нее точно так же не идет в сеть
>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
> а можно кодом пож-та?

route {interface} {network} {mask} {next-hop} [{administrative distance}]
например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас локалка)


"не могу подцепить вторую асашку"
Отправлено himik.irk , 06-Сен-11 12:50 
> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)

завтра попробую, скажу, пасиб..



"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 10:48 
>>>> ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть
>>>> и асашка, но изнутри пинг до асашки не доходит, и от
>>>> нее точно так же не идет в сеть
>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>> а можно кодом пож-та?
> route {interface} {network} {mask} {next-hop} [{administrative distance}]
> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
> локалка)

пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но в нет выпускает все равно через первую, так как на каталисте маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную подсеть он все-таки роутил на асашку 2??


"не могу подцепить вторую асашку"
Отправлено dmitry , 07-Сен-11 11:05 
>[оверквотинг удален]
>>>> На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24
>>> а можно кодом пож-та?
>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>> локалка)
> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
> в нет выпускает все равно через первую, так как на каталисте
> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
> подсеть он все-таки роутил на асашку 2??

Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop указать asa2


"не могу подцепить вторую асашку"
Отправлено Николай_kv , 07-Сен-11 11:22 
>[оверквотинг удален]
>>> route {interface} {network} {mask} {next-hop} [{administrative distance}]
>>> например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас
>>> локалка)
>> пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но
>> в нет выпускает все равно через первую, так как на каталисте
>> маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу
>> нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную
>> подсеть он все-таки роутил на асашку 2??
> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2

Ну все я не выдержал, старался на этот пост не обращать внимания...

2 himik.irk - в чем тайный смысл второй АСЫ которую вы хотите "впихнуть" в свою топологию? "Шоб було" или есть какая-то функциональная нагрузка?

Если вы хотите распаралелить поток идущий по дефайлту то используйте failover active/stanby в зависимости от ограничений накладываемых сетью. Судя по всему у тебя бональная статика на интернет и отлично подойдет failover active если держит лицензия.

Все костыли с прописыванием доп. статики для выборочных подсетей на 4500 остануться костылями, поскольку не имеют гибкости и при выходе из строя одной из асы гарнтируют тебе работу во внерабочее время.


"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 11:54 
> Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop
> указать asa2

прописал ip route 172.16.230.0 255.255.255.0 172.16.220.22 не хочет((
но и попробовал отключить первую асашку все-таки влет, и прописал route все на вторую, в нет не пустил((
В общем, ситуация такая сейчас: если я цепляю комп напрямую к асашке2, то все отлично выходит, если же через каталист его цепляю, то только через вторую пускает, хотя до первой пинг ходит спокойно(напомню схему: комп идет в каталист, так же параллельно в него идет локалка, из каталиста смотрят в нет 2 асашки)


"не могу подцепить вторую асашку"
Отправлено himik.irk , 07-Сен-11 11:56 
мне надо просто клиентов на одну асу пустить а сотрудников на другую))

"не могу подцепить вторую асашку"
Отправлено pancake , 08-Сен-11 12:06 
> мне надо просто клиентов на одну асу пустить а сотрудников на другую))

Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
и вторую железяку заткнуть в VRF и все.


"не могу подцепить вторую асашку"
Отправлено himik.irk , 09-Сен-11 04:29 
>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
> и вторую железяку заткнуть в VRF и все.

эмм...vrf это есть? (новичок в цисках)))


"не могу подцепить вторую асашку"
Отправлено radashah22 , 19-Сен-11 18:25 
>>> мне надо просто клиентов на одну асу пустить а сотрудников на другую))
>> Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов
>> и вторую железяку заткнуть в VRF и все.
> эмм...vrf это есть? (новичок в цисках)))

ну я как поняла, вторую асашку вы с внутренней сети увидели все-таки, только вот чушь полнейшая была route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24

Как можно маршрутизировать внутреннюю сеть в провайдера, да еще через каталист, который гейтвеем потом возвращается опять в аса2??? У вас получается что каталист маршрутизирует запросы в асу1, а аса2 запросы в каталист, который в свою очередь опять форвардует в асу1. отдульные маршруты пропишите для локал сети1 в сторону аса1 и для локал сети2 в сторону аса2. На интерфейсе в асе включите нат.


"не могу подцепить вторую асашку"
Отправлено radashah22 , 19-Сен-11 18:34 
>[оверквотинг удален]
>> access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any
>> access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any
>> access-group acl_out_inside in interface inside
>> route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1
>> буду рад любой помощи))
> 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan
> 130
> 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет.
> route inside x.x.x.x x.x.x.x 172.16.220.24

На всякий случай, саб-интерфейс делают в случае если порт свитча транковый, на саб-интерфейс прописывают инкапсуляцию с соответствующим виланом, чтобы трафик был тегированным