форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Буду признателен за помощь новичку"	+/–
Сообщение от bossaboy77 (ok) on 04-Фев-11, 19:18
Добрый вечер! Перечитал-пересмотрел пол-форума, но как разрешить свою задачу - не нашёл. Помогите, пожалуйста :) Вводные данные такие - есть Cisco ASA 5510 Sec Plus, два офиса, между которыми провайдер делает транспорт. Посмотреть можно на картинке отсюда: https://picasaweb.google.com/lh/photo/5o_sVh-FItGyMNHYWC2ZZg.... Задача у меня - сделать так, чтобы офисы могли общаться друг с дружкой и чтобы оба ходили в инет через ASA, установленную в одном. Я прикрутил на ASA к outside интерфейсу subinterface c VLAN27, назначил IP из того же адресного пространства, установил ему security level 100, нажал на галку в ADSM "Enable traffic between two or more interfaces which are configured with same security levels" Но, после всего этого, к сожалению, ничего не проходит между тем, что находится за inside в outside-VLAN27. Более того, ничего не идёт от 10.30.27.2 к 10.30.27.1. Где собакой порыть? Подскажите :)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Буду признателен за помощь новичку"	+/–
Сообщение от Николай (??) on 04-Фев-11, 20:02
настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Буду признателен за помощь новичку"	+/–
	Сообщение от bossaboy77 (ok) on 04-Фев-11, 20:08
	> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума > :)) Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу, потом сдамся :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Буду признателен за помощь новичку"	+/–
	Сообщение от Aleks305 (ok) on 04-Фев-11, 21:22
	>> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума >> :)) > Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу, > потом сдамся :) выложите конфиг asa помимо указанной Вами команды необходимы и другие команды для поднятия web морды
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Буду признателен за помощь новичку"	+/–
	Сообщение от bossaboy77 (ok) on 04-Фев-11, 22:26
	>>> настрою недорого - ваша тема раскрыто в другой непрочитанной вами половине форума >>> :)) >> Уже сама эта информация стоит плюшек :) Спасибо, я немножко ещё поищу, >> потом сдамся :) > выложите конфиг asa > помимо указанной Вами команды необходимы и другие команды для поднятия web морды Спасибо за ответ! Вот конфиг сейчас: ASA Version 8.3(1) ... interface Ethernet0/0 speed 1000 duplex full nameif inside security-level 100 ip address 10.30.30.2 255.255.255.0 ! interface Ethernet0/1 speed 1000 duplex full nameif outside security-level 0 ip address xxx.xxx.xxx.179 255.255.255.248 ! interface Ethernet0/1.27 vlan 27 nameif qa security-level 100 ip address 10.30.27.2 255.255.255.0 ! interface Ethernet0/2 speed 100 duplex full nameif dmz security-level 50 ip address 192.168.100.3 255.255.255.0 ! ... same-security-traffic permit inter-interface same-security-traffic permit intra-interface ... access-list outside_access_in extended permit object rdp any host 192.168.100.100 access-list outside_access_in extended permit icmp any any echo-reply access-list 10 extended permit icmp any any echo-reply access-list 10 extended permit icmp any any source-quench access-list 10 extended permit icmp any any unreachable access-list 10 extended permit icmp any any time-exceeded access-list dmz_access_in extended permit icmp any any echo-reply ... object network inside->outside nat (inside,outside) dynamic interface object network dmz->outside nat (dmz,outside) dynamic interface object network inside->dmz nat (inside,dmz) dynamic interface object network qa->dmz nat (qa,dmz) dynamic interface object network qa->outside nat (qa,outside) dynamic interface access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.177 1 ... timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 ... aaa authentication ssh console LOCAL http server enable http 10.30.30.0 255.255.255.0 inside ... class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns migrated_dns_map_1 parameters   message-length maximum client auto   message-length maximum 512 policy-map global_policy class inspection_default   inspect dns migrated_dns_map_1   inspect ftp   inspect h323 h225   inspect h323 ras   inspect rsh   inspect rtsp   inspect esmtp   inspect sqlnet   inspect skinny     inspect sunrpc   inspect xdmcp   inspect sip     inspect netbios   inspect tftp   inspect ip-options !
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Буду признателен за помощь новичку"	+/–
	Сообщение от Aleks305 (ok) on 06-Фев-11, 14:19
	интересно, а где у вас на интерфейсах same-security-level, если все уровни разные?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Буду признателен за помощь новичку"	+/–
	Сообщение от crash (ok) on 07-Фев-11, 05:36
	> интересно, а где у вас на интерфейсах > same-security-level, если все уровни разные? видимо тут interface Ethernet0/0 speed 1000 duplex full nameif inside security-level 100 ip address 10.30.30.2 255.255.255.0 ! interface Ethernet0/1.27 vlan 27 nameif qa security-level 100 ip address 10.30.27.2 255.255.255.0
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема