Уважаемые господа. Необходима Ваша помощь.
Буду краток...)
Имеются 2 cisco asa 5505
На одной из них настроены l2l ipsec туннели, критерий заворачивания трафика в туннель, как
и везде, является acl, который в основном содержит следующие значения,
permit ip host x.x.x.x host y.y.y.y
Причем х.х.х.х это адрес интерфейса этой циски, который смотрит к провайдеру.
y.y.y.y это адрес хоста из сети партнера.
За этой циской стоит хост, у которого в качестве ip def gw указан адрес, который настроен на inside vlan на циске, этот адрес из подсети z.z.z.z. Адрес хоста z.z.z.2, адрес интерфейса циски z.z.z.1
Настроен nat для адреса x.x.x.2 из inside vlan во внешнюю сеть.
Как настроены туннели у партнеров, не известно,т.е что является критерием инкапсуляции трафика в туннель.
Вопрос номер один: Если через туннель от партнеров идет ip пакет с адресом назначением z.z.z.2, то попав на интерфейс циски, что с ним произойдет, будет ли он просто смаршрутизирован на хост , или для этого необходим статический nat на циске, вообщем требуется что бы он в итоге попал на хост, и не понятно что для этого необходимо сделать.Есть вторая циска 5505. На ней один туннель, а вот там критерий инкапсуляции трафика такой
access-list my_list ext permit ip a.a.a.a 255.255.255.0 b.b.b.b 255.255.255.0
a.a.a.a это адрес локальной сети
b.b.b.b так же адрес локальной сети, партнера.
Так же сеть a.a.a.a натится в внешний ip адрес.
Поэтому на циске сделано
ip (inside) 0 access-list my_list
Что бы трафик не натился и шел в туннель.Вопрос номер два:
Если понадобится организовать еще один туннель, что необходимо выполнить на циске, что бы трафик не натился и заворачивался в туннель, nat (inside) 0 my_list_1 уже не отработает так как он может быть указан только один ACL.Извиняюсь если что не дописал, не указал, не предоставил...
Если будет необходимо, допишу....
Спасибо!!!
> Есть вторая циска 5505. На ней один туннель, а вот там критерий
> инкапсуляции трафика такой
> access-list my_list ext permit ip a.a.a.a 255.255.255.0 b.b.b.b 255.255.255.0
> a.a.a.a это адрес локальной сети
> b.b.b.b так же адрес локальной сети, партнера.
> my_list_1 уже не отработает так как он может быть указан только
> один ACL.access-list my_list ext permit ip a.a.a.a 255.255.255.0 c.c.c.c 255.255.255.0
a.a.a.a это адрес локальной сети
c.c.c.c так же адрес локальной сети, партнера номер 2ACL для ната остается прежним.
Как пример
access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.12.0 255.255.255.0
access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.15.0 255.255.255.0nat (inside) 0 access-list NONAT
>[оверквотинг удален]
> a.a.a.a это адрес локальной сети
> c.c.c.c так же адрес локальной сети, партнера номер 2
> ACL для ната остается прежним.
> Как пример
> access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.0.0 255.255.255.0
> access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.11.0 255.255.255.0
> access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.10.0 255.255.255.0
> access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.12.0 255.255.255.0
> access-list NONAT extended permit ip 192.168.7.0 255.255.255.0 192.168.15.0 255.255.255.0
> nat (inside) 0 access-list NONATСПАСИБО! РАЗОБРАЛСЯ!