https://www.opennet.ru/openforum/vsluhforumID6/2170.html Здрасте!<br>Есть ISR , есть своя автономка с диапазоном адресов х.х.х.х/24.<br>На ISR bgp full view с балансировкой на 3 провайдера.<br>На данный момент к сервисам серверов внутреннего периметра доступ настроен через static NAT, конкретно беру белый ip из своего диапазона вешаю его на лупбэк и делаю статик нат на внутренний ресурс.<br><br>Приехала ASA появилась необходимость загнать сервера в DMZ .<br><br>Вопрос, как лучше это дело реорганизовать, если 50 % публикуемых ресурсов на доменных Windows серверах, а судя по best practice сервера DMZ должны иметь белые IP.<br><br>И если без белых IP т.е. натить на ASA, то как мне передать блок PI AS на асу, если BGP строится на ISR.<br><br>Кусок конфы ISR отвечающий за bgp.<br>&lt;code&gt;<br>router bgp 11111<br> no bgp fast-external-fallover<br> bgp log-neighbor-changes<br> bgp deterministic-med<br> bgp graceful-restart restart-time 120<br> bgp graceful-restart stalepath-time 360<br> bgp graceful-restart<br> neighbor 111.18.111.77 remote-as 19720<br> neighbor 111.18.111.77 description -- ISP1(upstream)<br> neighbo https://www.opennet.ru/openforum/vsluhforumID6/2170.html#8 Mon, 10 Jul 2017 09:28:58 GMT &gt; Лучше делать от задачи: <br>&gt; 1) Если основная задача это защита серверов в DMZ и основной траффик <br>&gt; внешний то удобно делать для DMZ белые адреса.<br>&gt; 2) Если основная задача это защита внутренних сетей от DMZ и основной <br>&gt; траффик будет между DMZ и внутренними сетями, то удобнее чтобы в <br>&gt; DMZ были серые адреса, и в наружу делать NAT.<br>&gt; 3) Так же при проектировании очень желательно понимать какое взаимодействий будет между <br>&gt; серверами внутри DMZ, там тоже могут быть разные интересные особенности.<br><br>спасибо, развернуто<br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#7 Mon, 10 Jul 2017 07:56:00 GMT Лучше делать от задачи:<br><br>1) Если основная задача это защита серверов в DMZ и основной траффик внешний то удобно делать для DMZ белые адреса.<br><br>2) Если основная задача это защита внутренних сетей от DMZ и основной траффик будет между DMZ и внутренними сетями, то удобнее чтобы в DMZ были серые адреса, и в наружу делать NAT.<br><br>3) Так же при проектировании очень желательно понимать какое взаимодействий будет между серверами внутри DMZ, там тоже могут быть разные интересные особенности. <br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#6 Sun, 09 Jul 2017 07:02:37 GMT &gt;&gt; И если без белых IP т.е. натить на ASA, то как мне <br>&gt;&gt; передать блок PI AS на асу, если BGP строится на ISR.<br>&gt; ip route может стоит попробовать?<br><br>Правильно ли я понял?<br><br>ISR<br>---Для плавного перевода дроблю сетку на 2 первая остается на лупбэках на которых сейчас статик нат ,Вторая уходит на асу и плавно перемещаю сервера<br><br>---создаю интерфейс<br>interface gi0.110<br>enc dot1q 110<br>ip address x.x.6.129 255.255.255.128<br><br>создаю 2 маршрута<br>на лупбэки на которрых сейчас работает статик нат<br>ip route x.x.6.0 255.255.255.128 Null0 tag 609 name aggregate-to-bgp<br>на асу<br>ip route x.x.6.128 255.255.255.128 x.x.6.254<br><br><br>---<br>Вопрос как мне теперь анонсировать маршрут?<br>Если сейчас это происходит редистрибьюцией маршрута<br>address-family ipv4<br>  redistribute static route-map static-to-bgp<br><br>route-map static-to-bgp permit 10<br>match tag 609<br>set local-preference 1000<br>set origin igp<br>set community 609<br><br>---<br><br><br><br>ASA<br>---<br>interface gi0.110<br>vlan 110<br>ip address x.x.6.254 255.255.255.128<br>---<br>route outside 0. https://www.opennet.ru/openforum/vsluhforumID6/2170.html#5 Sun, 09 Jul 2017 06:19:37 GMT &gt;&gt; а судя по best practice сервера DMZ <br>&gt;&gt; должны иметь белые IP.<br>&gt; Это всего чьё то мнение, возможно ошибочное.<br><br> а как Вы считаете лучше?<br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#4 Sat, 08 Jul 2017 07:50:30 GMT &gt;&gt;&gt; И если без белых IP т.е. натить на ASA, то как мне <br>&gt;&gt;&gt; передать блок PI AS на асу, если BGP строится на ISR.<br>&gt;&gt; ip route может стоит попробовать?<br>&gt; т.е. статикой отдавать?<br><br>ну на ASA естественно статикой, можно между асой и роутером ospf поднять, если хочется.<br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#3 Fri, 07 Jul 2017 19:49:27 GMT &gt; а судя по best practice сервера DMZ <br>&gt; должны иметь белые IP.<br><br>Это всего чьё то мнение, возможно ошибочное. <br><br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#2 Fri, 07 Jul 2017 18:53:47 GMT &gt;&gt; И если без белых IP т.е. натить на ASA, то как мне <br>&gt;&gt; передать блок PI AS на асу, если BGP строится на ISR.<br>&gt; ip route может стоит попробовать?<br><br>т.е. статикой отдавать?<br> https://www.opennet.ru/openforum/vsluhforumID6/2170.html#1 Fri, 07 Jul 2017 17:28:07 GMT &gt; И если без белых IP т.е. натить на ASA, то как мне <br>&gt; передать блок PI AS на асу, если BGP строится на ISR. <br><br> ip route может стоит попробовать?<br>