URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 75
[ Назад ]

Исходное сообщение
"Cisco ASA два static nat в один внутренний адрес"
Отправлено vova , 24-Авг-12 06:39

Всем привет.
Имеем АСУ 5520, в outside приходит инет от провайдера, в dmz серваки с серыми IP. ASA делает static nat:
static (dmz,outside) x1.x1.x1.x1 172.16.0.100 netmask 255.255.255.255
static (dmz,outside) x2.x2.x2.x2 172.16.0.101 netmask 255.255.255.255
все отлично.
Возникла необходимость подключения еще канал от другого провайдера. Сответственно он выдаст свой пул адресов и их также нужно странслировать в сеть 172.16.0.0. Как это можно сделать ?
Трансляцию вида:
static (dmz,outside) y1.y1.y1.y1 172.16.0.100 netmask 255.255.255.255
static (dmz,outside) y2.y2.y2.y2 172.16.0.101 netmask 255.255.255.255
циска добавить не дает, грит уже есть NAT на адреса 172.16...

Содержание

Cisco ASA два static nat в один внутренний адрес,lan, 07:12 , 24-Авг-12
Cisco ASA два static nat в один внутренний адрес,eek, 07:13 , 24-Авг-12
- Cisco ASA два static nat в один внутренний адрес,vova, 07:35 , 24-Авг-12
  - Cisco ASA два static nat в один внутренний адрес,eek, 07:46 , 24-Авг-12
Cisco ASA два static nat в один внутренний адрес,sTALK_specTrum, 08:23 , 27-Авг-12
Cisco ASA два static nat в один внутренний адрес,Денис, 16:47 , 27-Авг-12
- Cisco ASA два static nat в один внутренний адрес,Денис, 18:33 , 27-Авг-12

Сообщения в этом обсуждении

"Cisco ASA два static nat в один внутренний адрес"
Отправлено lan , 24-Авг-12 07:12

>[оверквотинг удален]
> static (dmz,outside) x1.x1.x1.x1 172.16.0.100 netmask 255.255.255.255
> static (dmz,outside) x2.x2.x2.x2 172.16.0.101 netmask 255.255.255.255
> все отлично.
> Возникла необходимость подключения еще канал от другого провайдера. Сответственно он выдаст
> свой пул адресов и их также нужно странслировать в сеть 172.16.0.0.
> Как это можно сделать ?
> Трансляцию вида:
> static (dmz,outside) y1.y1.y1.y1 172.16.0.100 netmask 255.255.255.255
> static (dmz,outside) y2.y2.y2.y2 172.16.0.101 netmask 255.255.255.255
> циска добавить не дает, грит уже есть NAT на адреса 172.16...
поднимать BGP и брать свои пулл IP

"Cisco ASA два static nat в один внутренний адрес"
Отправлено eek , 24-Авг-12 07:13

> Возникла необходимость подключения еще канал от другого провайдера.
Вариантов и способов решить эту броблему несколько. Если опишите чуток подробней что за сервера и задачи можно обсуждать конкретней.

Если нужно использовать оба канала сразу, то на вскидку вот два варианта:
1) Роутер с BGP и PI адреса для вас.
2) Второй набор серверов (для второго канала).
Если нужно только переключение на случай падения, можно поиграть с IP SLA прямо на ASA.

"Cisco ASA два static nat в один внутренний адрес"
Отправлено vova , 24-Авг-12 07:35

>> Возникла необходимость подключения еще канал от другого провайдера.
> Вариантов и способов решить эту броблему несколько. Если опишите чуток подробней что
> за сервера и задачи можно обсуждать конкретней.
> Если нужно использовать оба канала сразу, то на вскидку вот два варианта:
> 1) Роутер с BGP и PI адреса для вас.
> 2) Второй набор серверов (для второго канала).
> Если нужно только переключение на случай падения, можно поиграть с IP SLA
> прямо на ASA.
Сервера с различными сервисами, доступными только зарегистрированным клиентам. Сервера в инете доступны только по IP. В смысле ДНСа на них нет, клиенты подключаются напрямую по IP адресам. Клиент использует "толстого клиента", в настройках которого указывается IP сервера. Дополнительный канал - резерв. В принципе не обязательно чтоб одновременно был доступ по обоим каналам. Желательно обойтись без поднятия со стороны серверов дополнительных IPшников и портов.

"Cisco ASA два static nat в один внутренний адрес"
Отправлено eek , 24-Авг-12 07:46

> В принципе не обязательно чтоб одновременно был доступ по
> обоим каналам. Желательно обойтись без поднятия со стороны
> серверов дополнительных IPшников и портов.
Качайте конфиг гайд по вашей версии софта асы и читайте внимательно раздел про IP SLA, решение как раз для вашего случая.

"Cisco ASA два static nat в один внутренний адрес"
Отправлено sTALK_specTrum , 27-Авг-12 08:23

> Как это можно сделать ?
> Трансляцию вида:
> static (dmz,outside) y1.y1.y1.y1 172.16.0.100 netmask 255.255.255.255
> static (dmz,outside) y2.y2.y2.y2 172.16.0.101 netmask 255.255.255.255
> циска добавить не дает, грит уже есть NAT на адреса 172.16...
А с каких у тебя второй провайдер в том же outside?
static (dmz,outside2) вполне себе будет работать.

"Cisco ASA два static nat в один внутренний адрес"
Отправлено Денис , 27-Авг-12 16:47

>[оверквотинг удален]
> static (dmz,outside) x1.x1.x1.x1 172.16.0.100 netmask 255.255.255.255
> static (dmz,outside) x2.x2.x2.x2 172.16.0.101 netmask 255.255.255.255
> все отлично.
> Возникла необходимость подключения еще канал от другого провайдера. Сответственно он выдаст
> свой пул адресов и их также нужно странслировать в сеть 172.16.0.0.
> Как это можно сделать ?
> Трансляцию вида:
> static (dmz,outside) y1.y1.y1.y1 172.16.0.100 netmask 255.255.255.255
> static (dmz,outside) y2.y2.y2.y2 172.16.0.101 netmask 255.255.255.255
> циска добавить не дает, грит уже есть NAT на адреса 172.16...
решение может и детское и не cisco-ориентированное, но можно поднять алиасы на интерфейсах серверов и транслировать на алиасы

"Cisco ASA два static nat в один внутренний адрес"
Отправлено Денис , 27-Авг-12 18:33

>[оверквотинг удален]
>> все отлично.
>> Возникла необходимость подключения еще канал от другого провайдера. Сответственно он выдаст
>> свой пул адресов и их также нужно странслировать в сеть 172.16.0.0.
>> Как это можно сделать ?
>> Трансляцию вида:
>> static (dmz,outside) y1.y1.y1.y1 172.16.0.100 netmask 255.255.255.255
>> static (dmz,outside) y2.y2.y2.y2 172.16.0.101 netmask 255.255.255.255
>> циска добавить не дает, грит уже есть NAT на адреса 172.16...
> решение может и детское и не cisco-ориентированное, но можно поднять алиасы на
> интерфейсах серверов и транслировать на алиасы
невнимательно прочитал про "не поднимать дополнительных адресов", извините