форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Помогите настроить ASA"	+/–
Сообщение от Ajavrik (ok) on 19-Дек-13, 09:03
Доброго времени суток. Есть: Hardware:   ASA5512 Cisco Adaptive Security Appliance Software Version 9.1(1) interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.160.100.250 255.0.0.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address 172.16.101.50 255.255.0.0 route outside 0.0.0.0 0.0.0.0 172.16.0.2 В 10 сети имеются машины и два роутера 10.160.100.250 и 10.160.100.1 в инет все ходят через ASA 10.160.100.250, а за 10.160.100.1 есть сеть 10.10.0.0/16 дефолтом у всех установлен .100.250 Как правильно прописать маршруты и access-list на ASA к сети 10.10.0.0/16? 10.160.100.1 трогать не могу - не мой, на клиентах статику тоже нельзя. Прописал route inside 10.10.0.0 255.255.0.0 10.160.100.1 access-list TEST extended permit tcp any any access-group TEST in interface inside access-group TEST out interface inside Помогите кто знает.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите настроить ASA"	+/–
Сообщение от jabbson (ok) on 19-Дек-13, 15:50
> а за 10.160.100.1 есть сеть 10.10.0.0/16 Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Помогите настроить ASA"	+/–
	Сообщение от Ajavrik (ok) on 19-Дек-13, 16:18
	>> а за 10.160.100.1 есть сеть 10.10.0.0/16 > Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера > имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0? Я сильно ошибся в конфигурации, извиняюсь правильно так: interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.160.100.250 255.255.255.0 Это сути дела не поменяло и я дальше разобрался, спасибо. Если кого интересует то бубен был таков: В ASA на интерфейсах с одинаковыми security-level для маршрутизации надо прописывать same-security-traffic permit inter-interface same-security-traffic permit intra-interface Но и так не заработало. Запустил tcpdump на машине и увидел что пакеты идут, но на пакет syn win от сервера за вторым маршрутизатором моя машина дает rst. Я думаю что возвращается не правильная последовательность т.к. уходят пакеты через ASA, а приходят с другого маршрутизатора. Эту проблему решил поставив NAT и на внутренний интерфейс. Вроде все заработало как мне надо. Может это и через зад, но работает. Если кто разобрался в моей схеме и знает как сделать проще - приму предложение.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема