Помогите, пожалуйста, сделать два сервера (две разные подсети) на одном интерфейсе DMZ ASA.Я сделал на коммутаторе ProCurve 2610 два дополнительных (к дефолтовому DEFAULT_VLAN) VLAN'а: 2_VLAN (ID 2) и 3_VLAN (ID 3).
Далее:
- исключил порты 1, 2, 3 из DEFAULT_VLAN;
- добавил порт 1 в 2_VLAN, как Tagged, а порт 2, как Untagged;
- добавил порт 1 в 3_VLAN, как Tagged, а порт 3, как Untagged;
- к порту 2 подключил сервер_1 (192.168.1.10);
- к порту 3 подключил сервер_2 (192.168.2.10);
- к порту 1 подключил DMZ-интерфейс ASA и назначил на ней VLAN'ы:-- Cut --
interface GigabitEthernet0/1.2
vlan 2
nameif 2_VLAN
security-level 10
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1.3
vlan 3
nameif 3_VLAN
security-level 10
ip address 192.168.2.1 255.255.255.0
!
-- Cut --Правильно ли я рассуждаю и поступаю?
Почему я не могу пингануть ни с ASDM подключенные сервера, ни с серверов DMZ-интерфейс?
>[оверквотинг удален]
> interface GigabitEthernet0/1.3
> vlan 3
> nameif 3_VLAN
> security-level 10
> ip address 192.168.2.1 255.255.255.0
> !
> -- Cut --
> Правильно ли я рассуждаю и поступаю?
> Почему я не могу пингануть ни с ASDM подключенные сервера, ни с
> серверов DMZ-интерфейс?вроде все ок,только не забудьте, что у Вас security-level одинаков
> вроде все ок,только не забудьте, что у Вас security-level одинаковДа, заработало! Спасибо!
По поводу security-level -- я как бы осмысленно это сделал: сервера (по назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться не должны.
Правильно я рассуждал?И если вы уже отозвались, не поможете мне разобраться, как дать доступ к этим DMZ-серверам из внутренней сети (inside)? :-)
В мануале, который шел с ASA, описывался метод, но я к своему стыду не смог разобраться...
Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по их публичным (Интернет) адресам, которые прописаны во внешних DNS...
>[оверквотинг удален]
> По поводу security-level -- я как бы осмысленно это сделал: сервера (по
> назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться
> не должны.
> Правильно я рассуждал?
> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
> к этим DMZ-серверам из внутренней сети (inside)? :-)
> В мануале, который шел с ASA, описывался метод, но я к своему
> стыду не смог разобраться...
> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
> их публичным (Интернет) адресам, которые прописаны во внешних DNS...прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, на ip внутренний. Только если inside и DMZ с одинаковым sec-level надо будет разрешать ходить трафик между ними дополнительной командой, либо на inside поднимать seclevel
>[оверквотинг удален]
>> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
>> к этим DMZ-серверам из внутренней сети (inside)? :-)
>> В мануале, который шел с ASA, описывался метод, но я к своему
>> стыду не смог разобраться...
>> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
>> их публичным (Интернет) адресам, которые прописаны во внешних DNS...
> прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip,
> на ip внутренний. Только если inside и DMZ с одинаковым sec-level
> надо будет разрешать ходить трафик между ними дополнительной командой, либо на
> inside поднимать seclevelХождение трафика между интерфейсам с различным sec-level открывается ацес листами на данных интерфейсах