https://www.opennet.dev/openforum/vsluhforumID6/23067.html всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:<br>interface GigabitEthernet3/20<br>description -=asa2=-<br>switchport access vlan 130<br>switchport mode access<br>spanning-tree portfast<br><br>interface Vlan130<br>description -=asa2=-<br>ip address 172.16.220.24 255.255.255.0<br><br>ip route 0.0.0.0 0.0.0.0 172.16.220.22<br><br>вот конфа самой второй асашки:<br><br>interface Ethernet0/1<br>description local<br>nameif inside<br>security-level 100<br>ip address 172.16.220.22 255.255.255.0<br><br>access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any<br>access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any<br>access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any<br><br>access-group acl_out_inside in interface inside<br><br>route outside 0.0.0.0 0.0 https://www.opennet.dev/openforum/vsluhforumID6/23067.html#16 Mon, 19 Sep 2011 14:34:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt; access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any <br>&gt;&gt; access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any <br>&gt;&gt; access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any <br>&gt;&gt; access-group acl_out_inside in interface inside <br>&gt;&gt; route outside 0.0.0.0 0.0.0.0 195.xxx.xxx.217 1 <br>&gt;&gt; буду рад любой помощи)) <br>&gt; 1) попробуйте на ASA сделать sub интерфейс и включить его в vlan <br>&gt; 130 <br>&gt; 2) а ASA знает о маршруте во внутренню сеть?судя по всему нет. <br>&gt; route inside x.x.x.x x.x.x.x 172.16.220.24 <br><br>На всякий случай, саб-интерфейс делают в случае если порт свитча транковый, на саб-интерфейс прописывают инкапсуляцию с соответствующим виланом, чтобы трафик был тегированным<br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#15 Mon, 19 Sep 2011 14:25:31 GMT &gt;&gt;&gt; мне надо просто клиентов на одну асу пустить а сотрудников на другую)) <br>&gt;&gt; Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов <br>&gt;&gt; и вторую железяку заткнуть в VRF и все.<br>&gt; эмм...vrf это есть? (новичок в цисках))) <br><br>ну я как поняла, вторую асашку вы с внутренней сети увидели все-таки, только вот чушь полнейшая была route inside 195.xxx.xxx.218 255.255.255.248 172.16.220.24<br><br>Как можно маршрутизировать внутреннюю сеть в провайдера, да еще через каталист, который гейтвеем потом возвращается опять в аса2??? У вас получается что каталист маршрутизирует запросы в асу1, а аса2 запросы в каталист, который в свою очередь опять форвардует в асу1. отдульные маршруты пропишите для локал сети1 в сторону аса1 и для локал сети2 в сторону аса2. На интерфейсе в асе включите нат. <br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#14 Fri, 09 Sep 2011 00:29:08 GMT &gt;&gt; мне надо просто клиентов на одну асу пустить а сотрудников на другую)) <br>&gt; Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов <br>&gt; и вторую железяку заткнуть в VRF и все.<br><br>эмм...vrf это есть? (новичок в цисках)))<br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#13 Thu, 08 Sep 2011 08:06:23 GMT &gt; мне надо просто клиентов на одну асу пустить а сотрудников на другую)) <br><br>Если сети друг с другом работать не должны (сотрудники/клиенты), то клиентов<br>и вторую железяку заткнуть в VRF и все.<br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#12 Wed, 07 Sep 2011 07:56:25 GMT мне надо просто клиентов на одну асу пустить а сотрудников на другую))<br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#11 Wed, 07 Sep 2011 07:54:17 GMT &gt; Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop <br>&gt; указать asa2 <br><br>прописал ip route 172.16.230.0 255.255.255.0 172.16.220.22 не хочет(( <br>но и попробовал отключить первую асашку все-таки влет, и прописал route все на вторую, в нет не пустил((<br>В общем, ситуация такая сейчас: если я цепляю комп напрямую к асашке2, то все отлично выходит, если же через каталист его цепляю, то только через вторую пускает, хотя до первой пинг ходит спокойно(напомню схему: комп идет в каталист, так же параллельно в него идет локалка, из каталиста смотрят в нет 2 асашки)<br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#10 Wed, 07 Sep 2011 07:22:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; route {interface} {network} {mask} {next-hop} [{administrative distance}] <br>&gt;&gt;&gt; например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас <br>&gt;&gt;&gt; локалка) <br>&gt;&gt; пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но <br>&gt;&gt; в нет выпускает все равно через первую, так как на каталисте <br>&gt;&gt; маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу <br>&gt;&gt; нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную <br>&gt;&gt; подсеть он все-таки роутил на асашку 2??<br>&gt; Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop <br>&gt; указать asa2 <br><br>Ну все я не выдержал, старался на этот пост не обращать внимания...<br><br>2 himik.irk - в чем тайный смысл второй АСЫ которую вы хотите "впихнуть" в свою топологию? "Шоб було" или есть какая-то функциональная нагрузка?<br><br>Если вы хотите распаралелить поток идущий по дефайлту то используйте failover active/stanby в зависимости от ограничений накладываемых сетью. С https://www.opennet.dev/openforum/vsluhforumID6/23067.html#9 Wed, 07 Sep 2011 07:05:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24 <br>&gt;&gt;&gt; а можно кодом пож-та?<br>&gt;&gt; route {interface} {network} {mask} {next-hop} [{administrative distance}] <br>&gt;&gt; например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас <br>&gt;&gt; локалка) <br>&gt; пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но <br>&gt; в нет выпускает все равно через первую, так как на каталисте <br>&gt; маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу <br>&gt; нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную <br>&gt; подсеть он все-таки роутил на асашку 2??<br><br>Просто добавить еще один маршрут на нужную подсеть и в качестве next-hop указать asa2<br><br> https://www.opennet.dev/openforum/vsluhforumID6/23067.html#8 Wed, 07 Sep 2011 06:48:42 GMT &gt;&gt;&gt;&gt; ощущние что блочит каталист, потому что с него пингуется и внутренняя сеть <br>&gt;&gt;&gt;&gt; и асашка, но изнутри пинг до асашки не доходит, и от <br>&gt;&gt;&gt;&gt; нее точно так же не идет в сеть <br>&gt;&gt;&gt; На асе надо прописать маршрут в подсеть 172.16.230.0 с некст хопом 172.16.220.24 <br>&gt;&gt; а можно кодом пож-та?<br>&gt; route {interface} {network} {mask} {next-hop} [{administrative distance}] <br>&gt; например: route e0/1 172.16.230.0 255.255.255.0 172.16.220.24 (если 172.16.230.0 у вас <br>&gt; локалка) <br><br>пасиб, прописал, теперь асашка пускает мой комп на себя через каталист, но в нет выпускает все равно через первую, так как на каталисте маршрут стоит route 0.0.0.0 0.0.0.0 172.16(все на асашку 1)... причем работу нельзя прерывать, и менять этот маршрут(( как можно указать, чтоб отдельную подсеть он все-таки роутил на асашку 2??<br>