Всем привет!!!
Помогите разобраться! Есть ASA5510, провайдер дал два пула белых адресов, основной а.а.а.0/28 и дополнительный б.б.б.0/28. С первым нет проблем, все работает. Второй не могу пристроить, все облазил, перечитал, не знаю с чего теперь начать... Прошу вашей помощи!Вот кусок конфига:
interface Ethernet0/3
description OUTSIDE
nameif Outside
security-level 0
ip address а.а.а.2 255.255.255.240!
object network MailServ
nat (DMZ,Outside) static а.а.а.4 dns
object network ProxyServ
nat (DMZ,Outside) static а.а.а.7 dns
object network KIt
nat (DMZ,Outside) dynamic interface dns
object network Web
nat (DMZ,Outside) static а.а.а.5 dns
access-group AclInInside in interface Inside
access-group AclOutInside out interface Inside
access-group AclInDMZ in interface DMZ
access-group AclOutDMZ out interface DMZ
access-group AclInOutside in interface Outside
access-group AclOutOutside out interface Outside
!
route Outside 0.0.0.0 0.0.0.0 а.а.а.1
Курите VRF.
> Курите VRF.а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда сделаете на ASA subinterface.
И
Может быть и с тегом dot1q, но у каждой под-сети есть def. gateway,
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.
>> Курите VRF.
> а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда
> сделаете на ASA subinterface.
> ИДело в том, что организация государственная, и договор об услугах с провайдером подписан и никаких изменений не будет, руководству до этих проблем глубоко фиолетово.
ISP сказали, что схема простая, все так работают, вы не исключение!
К чему привязать второй пул даже не представляю. К физическому интерфейсу никак не привязать...
Как вообще с такими задачами быть, с чего начать!?
Про VRF почитал - муть. Это глобально перестраивать конфиг, а хотелось бы без длительных простоев ну и т.д.
Первый оставте так как есть, второй загоните в VRF, да описание топологии желательно,
а как использовать собираетесь, один основной другой резервный, или два одновремено?
> Первый оставте так как есть, второй загоните в VRF, да описание топологии
> желательно,
> а как использовать собираетесь, один основной другой резервный, или два одновремено?Использовать собираюсь одновременно.
по топологии:ПРОВАЙДЕР
|
а.а.а.1(шлюз провайдера)
|
а.а.а.14(интерфейс на ASA5510)
|
nat(в серые адреса 10,10,10,0/24)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1Это так работает сейчас!!!!
Нужно что бы было примерно так:ПРОВАЙДЕР
|
а.а.а.1(шлюз провайдера)
|
а.а.а.14(интерфейс на ASA5510) б.б.б.0/28
| |
nat(в серые адреса) nat(в серые адреса)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1 route Outside 0.0.0.0 0.0.0.0 а.а.а.2
Если использовать VRF.... как его настроить?
На интерфейс добавите 2 саб-интерфеса, каждый из которых в отдельный
vrf, а дальше нат в самом vrf.
чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28, т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется. У тебя, соответственно, эта сеть так же на руках без проблем, и маршрут наружу известно как проложен. А вот что с сетью б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он собирается доставлять пакеты в эту сеть? Или у него в том же сегменте ещё и б.б.б.1/28 имеется?
> чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28,
> т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется.
> У тебя, соответственно, эта сеть так же на руках без проблем,
> и маршрут наружу известно как проложен. А вот что с сетью
> б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он
> собирается доставлять пакеты в эту сеть? Или у него в том
> же сегменте ещё и б.б.б.1/28 имеется?Провайдер сообщил, что организовал обратный маршрут(ну в нашу сторону) сети б.б.б.0/28. Для пула б.б.б.0/28 шлюзом выступает а.а.а.1
По идеи, мне просто нужно брать любой адрес из б.б.б.0 и натить и все должно работать, но этого нет.
Есть два варианта, либо это дело в провайдере, либо в конфиге!
Задача, разобраться и доказать... что все работает
Что Вы имете в виду в варианте НАТИТЬ.
> Что Вы имете в виду в варианте НАТИТЬ.object network MailServ
network-object host 10.10.10.10
nat (DMZ,Outside) static a.a.a.4 dns
access-list AclInOutside extended permit ip any object MailServВ такой конструкции работает с первым пулом.
По идеи, моя вторая сеть б.б.б.0/24 видна для сети а.а.а.0/24
Когда прописываюobject network MailServ
nat (DMZ,Outside) static б.б.б.4 dnsто почтовый сервер(например) не выходит на внешку.
Вот такая конструкция