Новые ответы

ISR (AS PI + BGP Full view) + ASA DMZ,

denergym, 06-Июл-17, 17:07 [смотреть все]

Здрасте!
Есть ISR , есть своя автономка с диапазоном адресов х.х.х.х/24.
На ISR bgp full view с балансировкой на 3 провайдера.
На данный момент к сервисам серверов внутреннего периметра доступ настроен через static NAT, конкретно беру белый ip из своего диапазона вешаю его на лупбэк и делаю статик нат на внутренний ресурс.
Приехала ASA появилась необходимость загнать сервера в DMZ .
Вопрос, как лучше это дело реорганизовать, если 50 % публикуемых ресурсов на доменных Windows серверах, а  судя по best practice сервера DMZ должны иметь белые IP.
И если без белых IP т.е. натить на ASA, то как мне передать блок PI AS на асу, если BGP строится на ISR.
Кусок конфы ISR отвечающий за bgp.
<code>
router bgp 11111
no bgp fast-external-fallover
bgp log-neighbor-changes
bgp deterministic-med
bgp graceful-restart restart-time 120
bgp graceful-restart stalepath-time 360
bgp graceful-restart
neighbor 111.18.111.77 remote-as 19720
neighbor 111.18.111.77 description -- ISP1(upstream)
neighbor 193.111.18.200 remote-as 5831
neighbor 193.111.18.200 description -- ISP2(upstream)
neighbor 212.18.111.197 remote-as 835
neighbor 212.18.111.197 description -- ISP3 (upstream)
!
address-family ipv4
  redistribute static route-map static-to-bgp
  neighbor 111.18.111.77 activate
  neighbor 111.18.111.77 send-community both
  neighbor 111.18.111.77 remove-private-as
  neighbor 111.18.111.77 advertisement-interval 1
  neighbor 111.18.111.77 route-map uAS19720-import in
  neighbor 111.18.111.77 route-map uAS19720-export out
  neighbor 193.111.18.20 activate
  neighbor 193.111.18.20 send-community both
  neighbor 193.111.18.20 remove-private-as
  neighbor 193.111.18.20 advertisement-interval 1
  neighbor 193.111.18.20 route-map uAS5831-import in
  neighbor 193.111.18.20 route-map uAS5831-export out
  neighbor 212.18.111.197 activate
  neighbor 212.18.111.197 send-community both
  neighbor 212.18.111.197 remove-private-as
  neighbor 212.18.111.197 advertisement-interval 1
  neighbor 212.18.111.197 route-map uAS835-import in
  neighbor 212.18.111.197 route-map uAS835-export out
exit-address-family
ip route 0.0.0.0 0.0.0.0 18.0.0.0 2 name floating-default-to-mit
ip route 0.0.0.0 0.0.0.0 4.0.0.0 3 name floating-default-to-level3
ip route 0.0.0.0 0.0.0.0 128.15.0.0 4 name floating-default-to-llnl
ip route 0.0.0.0 0.0.0.0 132.249.0.0 5 name floating-default-to-sdsc
ip route 0.0.0.0 0.0.0.0 194.226.64.0 6 name floating-default-to-rosniiros
ip route 0.0.0.0 255.0.0.0 Null0 name martians-route
ip route 127.0.0.0 255.0.0.0 Null0 name martians-route
ip route x.x.6.0 255.255.255.0 Null0 tag 609 name aggregate-to-bgp

route-map aggregate-to-bgp permit 10
set local-preference 1000
set origin igp
set community 609
route-map static-to-bgp permit 10
match tag 609
set local-preference 1000
set origin igp
set community 609
route-map uAS5831-export permit 10
description -- advertise only my AS prefixes
match community type-aggregate
route-map uAS5831-import permit 200
set local-preference 100
set community 626
route-map uAS5831-import permit 100
match ip address prefix-list default-networks
set local-preference 200
set community 626
route-map uAS5831-import deny 20
description -- filter martians, default and our own prefixes
match ip address prefix-list martians allocated-blocks
route-map uAS19720-import deny 20
description -- filter martians, default and our own prefixes
match ip address prefix-list martians allocated-blocks
route-map uAS19720-import permit 200
set local-preference 100
set community 626
route-map uAS835-import deny 20
description -- filter martians, default and our own prefixes
match ip address prefix-list martians allocated-blocks
route-map uAS835-import permit 100
match ip address prefix-list default-networks
set local-preference 200
set community 626
route-map uAS835-import permit 200
set local-preference 100
set community 626
route-map u19720-import permit 100
match ip address prefix-list default-networks
set local-preference 200
set community 626
route-map uAS835-export permit 10
description -- advertise only my AS prefixes
match community type-aggregate
route-map uAS19720-export permit 10
description -- advertise only my AS prefixes
match community type-aggregate
</code>

Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, crash, 20:28 , 07-Июл-17 (1)
> И если без белых IP т.е. натить на ASA, то как мне
> передать блок PI AS на асу, если BGP строится на ISR.
ip route может стоит попробовать?
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 21:53 , 07-Июл-17 (2)
>> И если без белых IP т.е. натить на ASA, то как мне
>> передать блок PI AS на асу, если BGP строится на ISR.
> ip route может стоит попробовать?
т.е. статикой отдавать?
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, crash, 10:50 , 08-Июл-17 (4)
>>> И если без белых IP т.е. натить на ASA, то как мне
>>> передать блок PI AS на асу, если BGP строится на ISR.
>> ip route может стоит попробовать?
> т.е. статикой отдавать?
ну на ASA естественно статикой, можно между асой и роутером ospf поднять, если хочется.
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 10:02 , 09-Июл-17 (6)
>> И если без белых IP т.е. натить на ASA, то как мне
>> передать блок PI AS на асу, если BGP строится на ISR.
>  ip route может стоит попробовать?
Правильно ли я понял?
ISR
---Для плавного перевода дроблю сетку на 2 первая остается на лупбэках на которых сейчас статик нат ,Вторая уходит на асу и плавно перемещаю сервера
---создаю интерфейс
interface gi0.110
enc dot1q 110
ip address x.x.6.129 255.255.255.128
создаю 2 маршрута
на лупбэки на которрых сейчас работает статик нат
ip route x.x.6.0 255.255.255.128 Null0 tag 609 name aggregate-to-bgp
на асу
ip route x.x.6.128 255.255.255.128 x.x.6.254

---
Вопрос как мне теперь анонсировать маршрут?
Если сейчас это происходит редистрибьюцией маршрута
address-family ipv4
  redistribute static route-map static-to-bgp
route-map static-to-bgp permit 10
match tag 609
set local-preference 1000
set origin igp
set community 609
---
ASA
---
interface gi0.110
vlan 110
ip address x.x.6.254 255.255.255.128
---
route outside 0.0.0.0 0.0.0.0 x.x.6.129
На серверах беру ip из  сетки x.x.6.128/25 и шлюзом ставлю x.x.6.254 верно?
Поправте пожалуйста если что не так.
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, BJ, 22:49 , 07-Июл-17 (3)
> а судя по best practice сервера DMZ
> должны иметь белые IP.
Это всего чьё то мнение, возможно ошибочное.
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 09:19 , 09-Июл-17 (5)
>> а судя по best practice сервера DMZ
>> должны иметь белые IP.
> Это всего чьё то мнение, возможно ошибочное.
а как Вы считаете лучше?
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, eek, 10:56 , 10-Июл-17 (7)
Лучше делать от задачи:
1) Если основная задача это защита серверов в DMZ и основной траффик внешний то удобно делать для DMZ белые адреса.
2) Если основная задача это защита внутренних сетей от DMZ и основной траффик будет между DMZ и внутренними сетями, то удобнее чтобы в DMZ были серые адреса, и в наружу делать NAT.
3) Так же при проектировании очень желательно понимать какое взаимодействий будет между серверами внутри DMZ, там тоже могут быть разные интересные особенности.
Ответить | Сообщить модератору

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 12:28 , 10-Июл-17 (8)
> Лучше делать от задачи:
> 1) Если основная задача это защита серверов в DMZ и основной траффик
> внешний то удобно делать для DMZ белые адреса.
> 2) Если основная задача это защита внутренних сетей от DMZ и основной
> траффик будет между DMZ и внутренними сетями, то удобнее чтобы в
> DMZ были серые адреса, и в наружу делать NAT.
> 3) Так же при проектировании очень желательно понимать какое взаимодействий будет между
> серверами внутри DMZ, там тоже могут быть разные интересные особенности.
спасибо, развернуто
Ответить | Сообщить модератору