https://www.opennet.ru/openforum/vsluhforumID6/23177.html Всем привет!!!<br>Помогите разобраться! Есть ASA5510, провайдер дал два пула белых адресов, основной а.а.а.0/28 и дополнительный б.б.б.0/28. С первым нет проблем, все работает. Второй не могу пристроить, все облазил, перечитал, не знаю с чего теперь начать... Прошу вашей помощи!<br><br>Вот кусок конфига:<br><br>interface Ethernet0/3<br> description OUTSIDE<br> nameif Outside<br> security-level 0<br> ip address а.а.а.2 255.255.255.240<br><br>!<br>object network MailServ<br> nat (DMZ,Outside) static а.а.а.4 dns<br>object network ProxyServ<br> nat (DMZ,Outside) static а.а.а.7 dns<br>object network KIt<br> nat (DMZ,Outside) dynamic interface dns<br>object network Web<br> nat (DMZ,Outside) static а.а.а.5 dns<br>access-group AclInInside in interface Inside<br>access-group AclOutInside out interface Inside<br>access-group AclInDMZ in interface DMZ<br>access-group AclOutDMZ out interface DMZ<br>access-group AclInOutside in interface Outside<br>access-group AclOutOutside out interface Outside<br>!<br>route Outside 0.0.0.0 0.0.0.0 а.а.а.1<br><br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#14 Tue, 01 Nov 2011 09:30:34 GMT &gt; Что Вы имете в виду в варианте НАТИТЬ.<br><br>object network MailServ<br>network-object host 10.10.10.10<br>nat (DMZ,Outside) static a.a.a.4 dns<br>access-list AclInOutside extended permit ip any object MailServ<br><br>В такой конструкции работает с первым пулом.<br>По идеи, моя вторая сеть б.б.б.0/24 видна для сети а.а.а.0/24<br>Когда прописываю <br><br>object network MailServ<br>nat (DMZ,Outside) static б.б.б.4 dns<br><br>то почтовый сервер(например) не выходит на внешку.<br>Вот такая конструкция<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#13 Mon, 31 Oct 2011 10:34:11 GMT Что Вы имете в виду в варианте НАТИТЬ.<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#12 Mon, 31 Oct 2011 10:31:36 GMT &gt; чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28, <br>&gt; т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется. <br>&gt; У тебя, соответственно, эта сеть так же на руках без проблем, <br>&gt; и маршрут наружу известно как проложен. А вот что с сетью <br>&gt; б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он <br>&gt; собирается доставлять пакеты в эту сеть? Или у него в том <br>&gt; же сегменте ещё и б.б.б.1/28 имеется?<br><br>Провайдер сообщил, что организовал обратный маршрут(ну в нашу сторону) сети б.б.б.0/28. Для пула б.б.б.0/28 шлюзом выступает а.а.а.1<br><br>По идеи, мне просто нужно брать любой адрес из б.б.б.0 и натить и все должно работать, но этого нет.<br>Есть два варианта, либо это дело в провайдере, либо в конфиге!<br>Задача, разобраться и доказать... что все работает<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#11 Wed, 12 Oct 2011 15:53:40 GMT чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28, т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется. У тебя, соответственно, эта сеть так же на руках без проблем, и маршрут наружу известно как проложен. А вот что с сетью б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он собирается доставлять пакеты в эту сеть? Или у него в том же сегменте ещё и б.б.б.1/28 имеется?<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#10 Tue, 11 Oct 2011 16:23:41 GMT На интерфейс добавите 2 саб-интерфеса, каждый из которых в отдельный<br>vrf, а дальше нат в самом vrf. <br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#9 Tue, 11 Oct 2011 12:03:45 GMT Если использовать VRF.... как его настроить?<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#8 Tue, 11 Oct 2011 12:02:55 GMT &gt; Первый оставте так как есть, второй загоните в VRF, да описание топологии <br>&gt; желательно, <br>&gt; а как использовать собираетесь, один основной другой резервный, или два одновремено?<br><br>Использовать собираюсь одновременно.<br>по топологии:<br><br>ПРОВАЙДЕР<br> &#124;<br>а.а.а.1(шлюз провайдера)<br> &#124;<br>а.а.а.14(интерфейс на ASA5510)<br> &#124;<br>nat(в серые адреса 10,10,10,0/24)<br>route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1<br><br>Это так работает сейчас!!!!<br>Нужно что бы было примерно так:<br><br> ПРОВАЙДЕР<br> &#124;<br> а.а.а.1(шлюз провайдера)<br> &#124;<br> а.а.а.14(интерфейс на ASA5510) б.б.б.0/28<br> &#124; &#124;<br>nat(в серые адреса) nat(в серые адреса)<br>route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1 route Outside 0.0.0.0 0.0.0.0 а.а.а.2<br><br><br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#7 Mon, 10 Oct 2011 13:07:43 GMT Первый оставте так как есть, второй загоните в VRF, да описание топологии желательно,<br>а как использовать собираетесь, один основной другой резервный, или два одновремено?<br> https://www.opennet.ru/openforum/vsluhforumID6/23177.html#6 Mon, 10 Oct 2011 13:00:43 GMT К чему привязать второй пул даже не представляю. К физическому интерфейсу никак не привязать...<br>Как вообще с такими задачами быть, с чего начать!?<br>Про VRF почитал - муть. Это глобально перестраивать конфиг, а хотелось бы без длительных простоев ну и т.д.<br>