URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 357
[ Назад ]

Исходное сообщение
"Cisco ASA + dynamic NAT"
Отправлено LonelyBeast , 06-Дек-12 22:30

Здравствуйте.

Подскажите пожалуйста как реализовать вот такую схему:
Есть диапазон внешних ip адресов.
на cisco asa реализована dmz, в которой 4 ip адреса:
1 — cisco asa
2 — логический ip кластера (log-ip)
3 — зона 1 (z1-ip)
4 — зона 2 (z1-ip)
Мне нужно настроить asa таким образом, чтобы было возможно подключение извне на ip адрес ext-ip ( логический ip кластера), тут я решаю это командой
static (inside,outside) ext-ip log-ip netmask 255.255.255.255
тут, вроде ничего сложного, вне зависимости от того, какая зона активна циска сделает обратную трансляцию. А вот до чего я никак не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в интернет с ext-ip ?
Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT а вот как именно его настроить для этой dmz — не соображу. Подскажите, пожалуйста, желательно с командами!
P.S. Данная dmz реализована в отдельном vlan.

Содержание

Cisco ASA + dynamic NAT,eek, 11:19 , 07-Дек-12
- Cisco ASA + dynamic NAT,eek, 11:22 , 07-Дек-12
  - Cisco ASA + dynamic NAT,LonelyBeast, 11:50 , 07-Дек-12
- Cisco ASA + dynamic NAT,LonelyBeast, 11:35 , 07-Дек-12
  - Cisco ASA + dynamic NAT,eek, 17:09 , 08-Дек-12

Сообщения в этом обсуждении

"Cisco ASA + dynamic NAT"
Отправлено eek , 07-Дек-12 11:19

>[оверквотинг удален]
> ip адрес ext-ip ( логический ip кластера), тут я решаю это
> командой
> static (inside,outside) ext-ip log-ip netmask 255.255.255.255
> тут, вроде ничего сложного, вне зависимости от того, какая зона активна циска
> сделает обратную трансляцию. А вот до чего я никак
> не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в
> интернет с ext-ip ?
> Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT
> а вот как именно его настроить для этой dmz — не
> соображу. Подскажите, пожалуйста, желательно с командами!
Если софт 8.3 и новее, то:
Создать объект z1-ip (для второго тоже)
Внутри него сказать что-то типа:
nat (dmz,outside) dynamic interface (если айпи прописан на интерфейсе)
nat (dmz,outside) dynamic 1.1.1.1 (если айпи не прописан и нужно задать отдельно).

"Cisco ASA + dynamic NAT"
Отправлено eek , 07-Дек-12 11:22

Еще раз перечитал задачу, ничего не понял. Можно поподробней схему.
Как-то так:
ASA
interface 1 - inside
interface 2 - outside
interface 3 - dmz
Сервер 1 сидит в инсайде и ему надо туда-то с такими то параметрами.
Из интернет нужно доступиться туда-то с тимикими то параметрами.
Сервер 2 сидит в dmz ему надо туда-то, а к нему надо из интернета так-то.

"Cisco ASA + dynamic NAT"
Отправлено LonelyBeast , 07-Дек-12 11:50

>[оверквотинг удален]
> Как-то так:
> ASA
> interface 1 - inside
> interface 2 - outside
> interface 3 - dmz
> Сервер 1 сидит в инсайде и ему надо туда-то с такими то
> параметрами.
> Из интернет нужно доступиться туда-то с тимикими то параметрами.
> Сервер 2 сидит в dmz ему надо туда-то, а к нему надо
> из интернета так-то.
Хорошо:)
Дано Cisco ASA 5510 (Cisco Adaptive Security Appliance Software Version 8.0(4))
есть 3 интерфейса:
interface 1 - inside
interface 2 - outside
interface 3 - dmz
есть 2 внешних ip адреса - ext-ip1 (назначен на интерфейс outside) и есть ext-ip2 - пока не используется.
В dmz поднят кластер (2 зоны дублируют друг друга), в каждый момент времени активна только 1 зона. IP адреса в зоне назначены так:
логический ip кластера - (log-ip) (когда люди подключаются извне - они подключаются именно на этот ip)
зона 1 - (z1-ip)
зона 2 - (z2-ip)
т.е. все подключаются на log-ip, он (log-ip) знает какая именно зона (z1-ip или z2-ip) активна и перенаправляет туда трафик.
Что я хочу:
1. назначить ip адрес ext-ip2 для log-ip, т.е. при вводе в браузере http://ext-ip2 - я бы попадал бы на log-ip.
2. когда зоны с ip адресами z1-ip z2-ip выходят в интернет - у них должен быть внешний адрес ext-ip2.

P.S. на сколько я понял - первый вопрос решается прописываем статического ната.
static (dmz,outside) ext-ip log-ip netmask 255.255.255.255
А вот как решить вопрос № 2 я не совсем понял. Т.к. исходящие ip могут быть разные (z1-ip или z2-ip, зависит от того какая зона активна в данный момент) - то я понял, что надо настроить динамический нат. А вот как именно он настраивается - я не понимаю. Помогите, пожалуйста!

"Cisco ASA + dynamic NAT"
Отправлено LonelyBeast , 07-Дек-12 11:35

>[оверквотинг удален]
>> не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в
>> интернет с ext-ip ?
>> Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT
>> а вот как именно его настроить для этой dmz — не
>> соображу. Подскажите, пожалуйста, желательно с командами!
> Если софт 8.3 и новее, то:
> Создать объект z1-ip (для второго тоже)
> Внутри него сказать что-то типа:
> nat (dmz,outside) dynamic interface (если айпи прописан на интерфейсе)
> nat (dmz,outside) dynamic 1.1.1.1 (если айпи не прописан и нужно задать отдельно).
Софт у меня постарее - Cisco Adaptive Security Appliance Software Version 8.0(4)
Общую идею понял, спасибо. не подскажете как для моей версии настроить ? Я попробовал прописать
nat (dmz) 1 0.0.0.0 0.0.0.0
для выхода в интернет через интерфейс outside asa - даже это не заработало :(. Что то я совсем запутался.

"Cisco ASA + dynamic NAT"
Отправлено eek , 08-Дек-12 17:09

1. Понятнее не стало, мифический кластер еще больше тумана добавляет.
2. По старому софту совсем ничем не помогу.