The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подскажите по работе с ASA 5510"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Подскажите по работе с ASA 5510"  
Сообщение от weris email(ok) on 08-Дек-08, 10:00 
первый раз мне досталась эта железка.
нужно реализовать следующую схему.

версия 7.0

eth0/0.20
nameif dmz
ip address 10.10.20.1 255.255.255.0
security-level 50
vlan 20

eth0/0.30
nameif servers
ip address 10.10.30.1 255.255.255.0
security-level 100
vlan 30

eth0/0.90
nameif users
ip address 10.10.90.1 255.255.255.0
security-level 100
vlan 90

eth0/2
nameif telecom
ip address 217.*.*.66 255.255.255.0
security-level 0

route telecom 0 0 217.*.*.5 1

global (telecom) 1 interface
nat (dmz) 1 10.10.20.100 255.255.255.255

задача.
выпустить в инет сервер 10.10.20.100 (ISA серв)

пользователей из влан 90 пустить на сервера (30 влан) и на ИСУ (20 влан) - рдп, файлшары, фтп

при выше приведенной конфигурации работает.

а теперь проблема.
необходимо из вне пробросить порты следующим образом -
порты 25,80,443,3579 на внутренний 10.10.20.100 (ISA серв, DMZ)
порты 3573,3575,3577 на внутренний 10.10.30.71 (servers)

делаю так -
static (dmz,telecom) tcp 217.*.*.65 25 10.10.20.100 25 netmask 255.255.255.255
static (dmz,telecom) tcp 217.*.*.65 80 10.10.20.100 80 netmask 255.255.255.255
....
static (servers,telecom) tcp 217.*.*.65 3573 10.10.30.71 3573 netmask 255.255.255.255
итд ...

акссесс листы на telecom,servers,dmz висят такие -
access-list telecom_in extended permit ip any any
access-grout telecom_in in interface telecom
на дмз и серверс - аналогично.

результат - проброс портов не работает.

пробовал так -
static (dmz,telecom) 217.*.*.65 10.10.20.100 netmask 255.255.255.255
static (dmz,telecom) 217.*.*.67 10.10.30.71 netmask 255.255.255.255
- так работает.
но проблема в том - что из вне желательно ходить на 1 ип 217.*.*.65 - а с него по портам раскидывать на разные внутренние сервера. т.к. на этот ИП настроено у клиентов софт. и менять настройки не получится.

пока работает временно в конфигурации -
eth0/2
nameif telecom
ip address 217.*.*.65 255.255.255.0
security-level 0

static (dmz,telecom) interface 10.10.20.100 netmask 255.255.255.255

все идет со вне на ису - а иса второй сетевухой в влан 30 - перенаправляет ан 30.71 сервер. но от этого надо избавиться.

так же у меня не захотела работать конструкция -
eth0/2
nameif telecom
ip address 217.*.*.66 255.255.255.0
security-level 0

global (telecom) 1 217.*.*.65 255.255.255.255
nat (dmz) 1 10.10.20.100 255.255.255.255

на 10.10.20.100 (dmz) инета не появилось ...

подскажите плиз пути решения.
может у кого есть книжка/дока по пикс/аса хорошая, буду признателен за помощь.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подскажите по работе с ASA 5510"  
Сообщение от sh_ email(??) on 08-Дек-08, 10:57 
no sysopt noproxyarp
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите по работе с ASA 5510"  
Сообщение от weris email(ok) on 08-Дек-08, 11:52 
>no sysopt noproxyarp

на внешний интерфейс? или в глобал конфиге.
железо не под рукой ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру