форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA + dynamic NAT"	+/–
Сообщение от LonelyBeast (ok) on 06-Дек-12, 22:30
Здравствуйте. Подскажите пожалуйста как реализовать вот такую схему: Есть диапазон внешних ip адресов. на cisco asa реализована dmz, в которой 4 ip адреса: 1 — cisco asa 2 — логический ip кластера (log-ip) 3 — зона 1 (z1-ip) 4 — зона 2 (z1-ip) Мне нужно настроить asa таким образом, чтобы было возможно подключение извне на ip адрес ext-ip ( логический ip кластера), тут я решаю это командой static (inside,outside) ext-ip  log-ip netmask 255.255.255.255 тут, вроде ничего сложного, вне зависимости от того, какая зона активна циска  сделает обратную трансляцию. А вот до чего  я никак не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в интернет с ext-ip ? Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT а вот как именно его настроить для этой dmz — не соображу. Подскажите, пожалуйста, желательно с командами! P.S. Данная dmz реализована в отдельном vlan.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ASA + dynamic NAT"	+/–
Сообщение от eek on 07-Дек-12, 11:19
>[оверквотинг удален] > ip адрес ext-ip ( логический ip кластера), тут я решаю это > командой > static (inside,outside) ext-ip  log-ip netmask 255.255.255.255 > тут, вроде ничего сложного, вне зависимости от того, какая зона активна циска >  сделает обратную трансляцию. А вот до чего  я никак > не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в > интернет с ext-ip ? > Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT > а вот как именно его настроить для этой dmz — не > соображу. Подскажите, пожалуйста, желательно с командами! Если софт 8.3 и новее, то: Создать объект z1-ip (для второго тоже) Внутри него сказать что-то типа: nat (dmz,outside) dynamic interface (если айпи прописан на интерфейсе) nat (dmz,outside) dynamic 1.1.1.1 (если айпи не прописан и нужно задать отдельно).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco ASA + dynamic NAT"	+/–
	Сообщение от eek on 07-Дек-12, 11:22
	Еще раз перечитал задачу, ничего не понял. Можно поподробней схему. Как-то так: ASA interface 1 - inside interface 2 - outside interface 3 - dmz Сервер 1 сидит в инсайде и ему надо туда-то с такими то параметрами. Из интернет нужно доступиться туда-то с тимикими то параметрами. Сервер 2 сидит в dmz ему надо туда-то, а к нему надо из интернета так-то.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Cisco ASA + dynamic NAT"	+/–
	Сообщение от LonelyBeast (ok) on 07-Дек-12, 11:50
	>[оверквотинг удален] > Как-то так: > ASA > interface 1 - inside > interface 2 - outside > interface 3 - dmz > Сервер 1 сидит в инсайде и ему надо туда-то с такими то > параметрами. > Из интернет нужно доступиться туда-то с тимикими то параметрами. > Сервер 2 сидит в dmz ему надо туда-то, а к нему надо > из интернета так-то. Хорошо:) Дано Cisco ASA 5510 (Cisco Adaptive Security Appliance Software Version 8.0(4)) есть 3 интерфейса: interface 1 - inside interface 2 - outside interface 3 - dmz есть 2 внешних ip адреса - ext-ip1 (назначен на интерфейс outside) и есть ext-ip2 - пока не используется. В dmz поднят кластер (2 зоны дублируют друг друга), в каждый момент времени активна только 1 зона. IP адреса в зоне назначены так: логический ip кластера - (log-ip) (когда люди подключаются извне - они подключаются именно на этот ip) зона 1 - (z1-ip) зона 2 - (z2-ip) т.е. все подключаются на log-ip, он (log-ip) знает какая именно зона (z1-ip или z2-ip) активна и перенаправляет туда трафик. Что я хочу: 1. назначить ip адрес ext-ip2 для log-ip, т.е. при вводе в браузере http://ext-ip2 - я бы попадал бы на log-ip. 2. когда зоны с ip адресами z1-ip z2-ip выходят в интернет - у них должен быть внешний адрес ext-ip2. P.S. на сколько я понял - первый вопрос решается прописываем статического ната. static (dmz,outside) ext-ip  log-ip netmask 255.255.255.255 А вот как решить вопрос № 2 я не совсем понял. Т.к. исходящие ip могут быть разные (z1-ip или z2-ip, зависит от того какая зона активна в данный момент) - то я понял, что надо настроить динамический нат. А вот как именно он настраивается - я не понимаю. Помогите, пожалуйста!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	3. "Cisco ASA + dynamic NAT"	+/–
	Сообщение от LonelyBeast (ok) on 07-Дек-12, 11:35
	>[оверквотинг удален] >> не могу дойти: как сделать чтобы z1-ip и z2-ip выходили в >> интернет с ext-ip ? >> Где то в глубине души понимаю, что мне необходимо настроить dynamic NAT >> а вот как именно его настроить для этой dmz — не >> соображу. Подскажите, пожалуйста, желательно с командами! > Если софт 8.3 и новее, то: > Создать объект z1-ip (для второго тоже) > Внутри него сказать что-то типа: > nat (dmz,outside) dynamic interface (если айпи прописан на интерфейсе) > nat (dmz,outside) dynamic 1.1.1.1 (если айпи не прописан и нужно задать отдельно). Софт у меня постарее - Cisco Adaptive Security Appliance Software Version 8.0(4) Общую идею понял, спасибо. не подскажете как для моей версии настроить ? Я попробовал прописать nat (dmz) 1 0.0.0.0 0.0.0.0 для выхода в интернет через интерфейс outside asa - даже это не заработало :(. Что то я совсем запутался.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Cisco ASA + dynamic NAT"	+/–
	Сообщение от eek on 08-Дек-12, 17:09
	1. Понятнее не стало, мифический кластер еще больше тумана добавляет. 2. По старому софту совсем ничем не помогу.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема