ASA + ProCurve, MVictorL, 22-Ноя-11, 18:29 [смотреть все]Помогите, пожалуйста, сделать два сервера (две разные подсети) на одном интерфейсе DMZ ASA.Я сделал на коммутаторе ProCurve 2610 два дополнительных (к дефолтовому DEFAULT_VLAN) VLAN'а: 2_VLAN (ID 2) и 3_VLAN (ID 3). Далее: - исключил порты 1, 2, 3 из DEFAULT_VLAN; - добавил порт 1 в 2_VLAN, как Tagged, а порт 2, как Untagged; - добавил порт 1 в 3_VLAN, как Tagged, а порт 3, как Untagged; - к порту 2 подключил сервер_1 (192.168.1.10); - к порту 3 подключил сервер_2 (192.168.2.10); - к порту 1 подключил DMZ-интерфейс ASA и назначил на ней VLAN'ы: -- Cut -- interface GigabitEthernet0/1.2 vlan 2 nameif 2_VLAN security-level 10 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.3 vlan 3 nameif 3_VLAN security-level 10 ip address 192.168.2.1 255.255.255.0 ! -- Cut -- Правильно ли я рассуждаю и поступаю? Почему я не могу пингануть ни с ASDM подключенные сервера, ни с серверов DMZ-интерфейс?
|
- ASA + ProCurve, Aleks305, 22:15 , 22-Ноя-11 (1)
>[оверквотинг удален] > interface GigabitEthernet0/1.3 > vlan 3 > nameif 3_VLAN > security-level 10 > ip address 192.168.2.1 255.255.255.0 > ! > -- Cut -- > Правильно ли я рассуждаю и поступаю? > Почему я не могу пингануть ни с ASDM подключенные сервера, ни с > серверов DMZ-интерфейс?вроде все ок,только не забудьте, что у Вас security-level одинаков
- ASA + ProCurve, MVictorL, 10:11 , 23-Ноя-11 (2)
> вроде все ок,только не забудьте, что у Вас security-level одинаков Да, заработало! Спасибо! По поводу security-level -- я как бы осмысленно это сделал: сервера (по назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться не должны. Правильно я рассуждал? И если вы уже отозвались, не поможете мне разобраться, как дать доступ к этим DMZ-серверам из внутренней сети (inside)? :-) В мануале, который шел с ASA, описывался метод, но я к своему стыду не смог разобраться... Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по их публичным (Интернет) адресам, которые прописаны во внешних DNS...
- ASA + ProCurve, Aleks305, 13:47 , 23-Ноя-11 (3)
>[оверквотинг удален] > По поводу security-level -- я как бы осмысленно это сделал: сервера (по > назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться > не должны. > Правильно я рассуждал? > И если вы уже отозвались, не поможете мне разобраться, как дать доступ > к этим DMZ-серверам из внутренней сети (inside)? :-) > В мануале, который шел с ASA, описывался метод, но я к своему > стыду не смог разобраться... > Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по > их публичным (Интернет) адресам, которые прописаны во внешних DNS...прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, на ip внутренний. Только если inside и DMZ с одинаковым sec-level надо будет разрешать ходить трафик между ними дополнительной командой, либо на inside поднимать seclevel
- ASA + ProCurve, Николай_kv, 14:28 , 23-Ноя-11 (4)
>[оверквотинг удален] >> И если вы уже отозвались, не поможете мне разобраться, как дать доступ >> к этим DMZ-серверам из внутренней сети (inside)? :-) >> В мануале, который шел с ASA, описывался метод, но я к своему >> стыду не смог разобраться... >> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по >> их публичным (Интернет) адресам, которые прописаны во внешних DNS... > прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, > на ip внутренний. Только если inside и DMZ с одинаковым sec-level > надо будет разрешать ходить трафик между ними дополнительной командой, либо на > inside поднимать seclevel Хождение трафика между интерфейсам с различным sec-level открывается ацес листами на данных интерфейсах
|