URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23497
[ Назад ]

Исходное сообщение
"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено karlos2004 , 05-Фев-12 21:04

Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый опыт.
Есть : 2 внутренних сети и выход в нет. Из одной внутренний подсети хожу в инет, с консоли пингую все 3 подсоединенные сети, но inside -- inside2 сети друг друга не видят. Натолкните на мысль, что у меня не так
Интерфейсы:
Outside: 94.72.3.242 255.255.255.248
Inside: 10.100.1.254 255.255.0.0
Inside2: 192.168.8.253 255.255.255.0
конфа:
hostname gsk
!
domain name firstgsk.ru
!
interface eth0/0
nameif outside
security-level 0
ip address 94.72.3.242 255.255.255.248
no shut
!
int eth0/1
nameif inside
security-level 100
ip address 10.100.1.254 255.255.0.0
no shut
!
!
int eth0/2
nameif inside2
security-level 100
ip address 192.168.8.253 255.255.255.0
no shut
!
same-security-traffic permit inter-interface

route outside 0.0.0.0 0.0.0.0 94.72.3.241 1
nat (inside) 1 10.100.0.0 255.255.0.0
nat (inside2) 1 192.168.8.0 255.255.255.0
global (outside) 1 interface
static (inside,inside2) 10.100.0.0 10.100.0.0 netmask 255.255.255.0
static (inside2,inside) 192.168.8.0 192.168.8.0 netmask 255.255.255.0
static (inside,outside) tcp interface smtp 10.100.1.3 smtp netmask 255.255.255.255
static (inside,outside) tcp interface https 10.100.1.3 https netmask 255.255.255.255
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any source-quench
access-list 101 extended permit icmp any any time-exceeded
access-list 101 extended permit icmp any any unreachable
access-list 101 extended permit tcp any interface outside eq https
access-list 101 extended permit tcp any interface outside eq smtp
access-list 102 extended permit icmp any any echo-reply
access-list 102 extended permit icmp any any source-quench
access-list 102 extended permit icmp any any unreachable
access-list 102 extended permit icmp any any time-exceeded
access-list 103 extended permit icmp any any echo-reply
access-list 103 extended permit icmp any any source-quench
access-list 103 extended permit icmp any any unreachable
access-list 103 extended permit icmp any any time-exceeded
access-group 101 in interface outside

route inside2 192.168.1.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.2.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.3.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.4.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.5.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.17.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.20.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.33.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.102.0 255.255.255.0 192.168.8.250 1

Содержание

ASA 5510 проблема с правилами, не могу понять что не так делаю,Dima, 22:20 , 05-Фев-12
- ASA 5510 проблема с правилами, не могу понять что не так делаю,karlos2004, 22:41 , 05-Фев-12
ASA 5510 проблема с правилами, не могу понять что не так делаю,Seva, 22:36 , 05-Фев-12
- ASA 5510 проблема с правилами, не могу понять что не так делаю,karlos2004, 22:40 , 05-Фев-12
ASA 5510 проблема с правилами, не могу понять что не так делаю,rakis, 07:46 , 06-Фев-12
- ASA 5510 проблема с правилами, не могу понять что не так делаю,karlos2004, 08:43 , 06-Фев-12
  - ASA 5510 проблема с правилами, не могу понять что не так делаю,karlos2004, 13:34 , 06-Фев-12
    - ASA 5510 проблема с правилами, не могу понять что не так делаю,Serg, 10:56 , 03-Окт-13

Сообщения в этом обсуждении

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено Dima , 05-Фев-12 22:20

> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
> опыт.
> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
> но inside -- inside2 сети друг друга не видят. Натолкните на
> мысль, что у меня не так
Возможно ограничение лицензии.
при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и Office VLAN между собой не отрабатывают.
проверяйте sh ver

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено karlos2004 , 05-Фев-12 22:41

>> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
>> опыт.
>> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
>> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
>> но inside -- inside2 сети друг друга не видят. Натолкните на
>> мысль, что у меня не так
> Возможно ограничение лицензии.
> при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и
> Office VLAN между собой не отрабатывают.
> проверяйте sh ver
нет Vlan, Это 5510 а не 5505 (я уже прочитался про различия)
И

Cisco ASA 5510 Security Appliance - межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA по сравнению с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено Seva , 05-Фев-12 22:36

по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl нужен, или почитать как это делается.

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено karlos2004 , 05-Фев-12 22:40

> по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl
> нужен, или почитать как это делается.
А это на что ?
same-security-traffic permit inter-interface

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено rakis , 06-Фев-12 07:46

access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
nat (inside) 0 access-list nonat
nat (inside2) 0 access-list nonat

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено karlos2004 , 06-Фев-12 08:43

> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
> nat (inside) 0 access-list nonat
> nat (inside2) 0 access-list nonat
2 раза permit-то зачем ?
Но идея помогла ! СПАСИБО !!

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено karlos2004 , 06-Фев-12 13:34

>> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>> nat (inside) 0 access-list nonat
>> nat (inside2) 0 access-list nonat
> 2 раза permit-то зачем ?
> Но идея помогла ! СПАСИБО !!
Еще момент - при команде copy running-config startup-config такая вот фигня ... как с эти жить ?
Result of the command: "copy running-config startup-config"
Source filename [running-config]?
?Bad filename

"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Отправлено Serg , 03-Окт-13 10:56

>[оверквотинг удален]
>>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>>> nat (inside) 0 access-list nonat
>>> nat (inside2) 0 access-list nonat
>> 2 раза permit-то зачем ?
>> Но идея помогла ! СПАСИБО !!
> Еще момент - при команде copy running-config startup-config такая вот фигня ...
> как с эти жить ?
> Result of the command: "copy running-config startup-config"
> Source filename [running-config]?
> ?Bad filename
wr mem