forum.opennet.ru - "ISR (AS PI + BGP Full view) + ASA DMZ" (8)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"ISR (AS PI + BGP Full view) + ASA DMZ"

Форум Маршрутизаторы CISCO и др. оборудование. (BGP, ASN)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
Сообщение от denergym (ok) on 06-Июл-17, 17:07
Здрасте! Есть ISR , есть своя автономка с диапазоном адресов х.х.х.х/24. На ISR bgp full view с балансировкой на 3 провайдера. На данный момент к сервисам серверов внутреннего периметра доступ настроен через static NAT, конкретно беру белый ip из своего диапазона вешаю его на лупбэк и делаю статик нат на внутренний ресурс. Приехала ASA появилась необходимость загнать сервера в DMZ . Вопрос, как лучше это дело реорганизовать, если 50 % публикуемых ресурсов на доменных Windows серверах, а судя по best practice сервера DMZ должны иметь белые IP. И если без белых IP т.е. натить на ASA, то как мне передать блок PI AS на асу, если BGP строится на ISR. Кусок конфы ISR отвечающий за bgp. <code> router bgp 11111 no bgp fast-external-fallover bgp log-neighbor-changes bgp deterministic-med bgp graceful-restart restart-time 120 bgp graceful-restart stalepath-time 360 bgp graceful-restart neighbor 111.18.111.77 remote-as 19720 neighbor 111.18.111.77 description -- ISP1(upstream) neighbor 193.111.18.200 remote-as 5831 neighbor 193.111.18.200 description -- ISP2(upstream) neighbor 212.18.111.197 remote-as 835 neighbor 212.18.111.197 description -- ISP3 (upstream) ! address-family ipv4 redistribute static route-map static-to-bgp neighbor 111.18.111.77 activate neighbor 111.18.111.77 send-community both neighbor 111.18.111.77 remove-private-as neighbor 111.18.111.77 advertisement-interval 1 neighbor 111.18.111.77 route-map uAS19720-import in neighbor 111.18.111.77 route-map uAS19720-export out neighbor 193.111.18.20 activate neighbor 193.111.18.20 send-community both neighbor 193.111.18.20 remove-private-as neighbor 193.111.18.20 advertisement-interval 1 neighbor 193.111.18.20 route-map uAS5831-import in neighbor 193.111.18.20 route-map uAS5831-export out neighbor 212.18.111.197 activate neighbor 212.18.111.197 send-community both neighbor 212.18.111.197 remove-private-as neighbor 212.18.111.197 advertisement-interval 1 neighbor 212.18.111.197 route-map uAS835-import in neighbor 212.18.111.197 route-map uAS835-export out exit-address-family ip route 0.0.0.0 0.0.0.0 18.0.0.0 2 name floating-default-to-mit ip route 0.0.0.0 0.0.0.0 4.0.0.0 3 name floating-default-to-level3 ip route 0.0.0.0 0.0.0.0 128.15.0.0 4 name floating-default-to-llnl ip route 0.0.0.0 0.0.0.0 132.249.0.0 5 name floating-default-to-sdsc ip route 0.0.0.0 0.0.0.0 194.226.64.0 6 name floating-default-to-rosniiros ip route 0.0.0.0 255.0.0.0 Null0 name martians-route ip route 127.0.0.0 255.0.0.0 Null0 name martians-route ip route x.x.6.0 255.255.255.0 Null0 tag 609 name aggregate-to-bgp route-map aggregate-to-bgp permit 10 set local-preference 1000 set origin igp set community 609 route-map static-to-bgp permit 10 match tag 609 set local-preference 1000 set origin igp set community 609 route-map uAS5831-export permit 10 description -- advertise only my AS prefixes match community type-aggregate route-map uAS5831-import permit 200 set local-preference 100 set community 626 route-map uAS5831-import permit 100 match ip address prefix-list default-networks set local-preference 200 set community 626 route-map uAS5831-import deny 20 description -- filter martians, default and our own prefixes match ip address prefix-list martians allocated-blocks route-map uAS19720-import deny 20 description -- filter martians, default and our own prefixes match ip address prefix-list martians allocated-blocks route-map uAS19720-import permit 200 set local-preference 100 set community 626 route-map uAS835-import deny 20 description -- filter martians, default and our own prefixes match ip address prefix-list martians allocated-blocks route-map uAS835-import permit 100 match ip address prefix-list default-networks set local-preference 200 set community 626 route-map uAS835-import permit 200 set local-preference 100 set community 626 route-map u19720-import permit 100 match ip address prefix-list default-networks set local-preference 200 set community 626 route-map uAS835-export permit 10 description -- advertise only my AS prefixes match community type-aggregate route-map uAS19720-export permit 10 description -- advertise only my AS prefixes match community type-aggregate </code>
Ответить \| Правка \| Cообщить модератору

Оглавление

ISR (AS PI + BGP Full view) + ASA DMZ, crash, 20:28 , 07-Июл-17, (1)

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 21:53 , 07-Июл-17, (2)

ISR (AS PI + BGP Full view) + ASA DMZ, crash, 10:50 , 08-Июл-17, (4)

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 10:02 , 09-Июл-17, (6)

ISR (AS PI + BGP Full view) + ASA DMZ, BJ, 22:49 , 07-Июл-17, (3)

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 09:19 , 09-Июл-17, (5)

ISR (AS PI + BGP Full view) + ASA DMZ, eek, 10:56 , 10-Июл-17, (7)

ISR (AS PI + BGP Full view) + ASA DMZ, denergym, 12:28 , 10-Июл-17, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от crash (ok) on 07-Июл-17, 20:28

> И если без белых IP т.е. натить на ASA, то как мне
> передать блок PI AS на асу, если BGP строится на ISR.
ip route может стоит попробовать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от denergym (ok) on 07-Июл-17, 21:53

>> И если без белых IP т.е. натить на ASA, то как мне
>> передать блок PI AS на асу, если BGP строится на ISR.
>  ip route может стоит попробовать?
т.е. статикой отдавать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от crash (ok) on 08-Июл-17, 10:50

>>> И если без белых IP т.е. натить на ASA, то как мне
>>> передать блок PI AS на асу, если BGP строится на ISR.
>>  ip route может стоит попробовать?
> т.е. статикой отдавать?
ну на ASA естественно статикой, можно между асой и роутером ospf поднять, если хочется.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от denergym (ok) on 09-Июл-17, 10:02

>> И если без белых IP т.е. натить на ASA, то как мне
>> передать блок PI AS на асу, если BGP строится на ISR.
>  ip route может стоит попробовать?
Правильно ли я понял?
ISR
---Для плавного перевода дроблю сетку на 2 первая остается на лупбэках на которых сейчас статик нат ,Вторая уходит на асу и плавно перемещаю сервера
---создаю интерфейс
interface gi0.110
enc dot1q 110
ip address x.x.6.129 255.255.255.128
создаю 2 маршрута
на лупбэки на которрых сейчас работает статик нат
ip route x.x.6.0 255.255.255.128 Null0 tag 609 name aggregate-to-bgp
на асу
ip route x.x.6.128 255.255.255.128 x.x.6.254

---
Вопрос как мне теперь анонсировать маршрут?
Если сейчас это происходит редистрибьюцией маршрута
address-family ipv4
  redistribute static route-map static-to-bgp
route-map static-to-bgp permit 10
match tag 609
set local-preference 1000
set origin igp
set community 609
---
ASA
---
interface gi0.110
vlan 110
ip address x.x.6.254 255.255.255.128
---
route outside 0.0.0.0 0.0.0.0 x.x.6.129
На серверах беру ip из  сетки x.x.6.128/25 и шлюзом ставлю x.x.6.254 верно?
Поправте пожалуйста если что не так.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от BJ (ok) on 07-Июл-17, 22:49

> а  судя по best practice сервера DMZ
> должны иметь белые IP.
Это всего чьё то мнение,  возможно ошибочное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от denergym (ok) on 09-Июл-17, 09:19

>> а  судя по best practice сервера DMZ
>> должны иметь белые IP.
> Это всего чьё то мнение,  возможно ошибочное.
а как Вы считаете лучше?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от eek (ok) on 10-Июл-17, 10:56

Лучше делать от задачи:
1) Если основная задача это защита серверов в DMZ и основной траффик внешний то удобно делать для DMZ белые адреса.
2) Если основная задача это защита внутренних сетей от DMZ и основной траффик будет между DMZ и внутренними сетями, то удобнее чтобы в DMZ были серые адреса, и в наружу делать NAT.
3) Так же при проектировании очень желательно понимать какое взаимодействий будет между серверами внутри DMZ, там тоже могут быть разные интересные особенности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "ISR (AS PI + BGP Full view) + ASA DMZ" +/–

Сообщение от denergym (ok) on 10-Июл-17, 12:28

> Лучше делать от задачи:
> 1) Если основная задача это защита серверов в DMZ и основной траффик
> внешний то удобно делать для DMZ белые адреса.
> 2) Если основная задача это защита внутренних сетей от DMZ и основной
> траффик будет между DMZ и внутренними сетями, то удобнее чтобы в
> DMZ были серые адреса, и в наружу делать NAT.
> 3) Так же при проектировании очень желательно понимать какое взаимодействий будет между
> серверами внутри DMZ, там тоже могут быть разные интересные особенности.
спасибо, развернуто

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
Сообщение от crash (ok) on 07-Июл-17, 20:28
> И если без белых IP т.е. натить на ASA, то как мне > передать блок PI AS на асу, если BGP строится на ISR. ip route может стоит попробовать?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
	Сообщение от denergym (ok) on 07-Июл-17, 21:53
	>> И если без белых IP т.е. натить на ASA, то как мне >> передать блок PI AS на асу, если BGP строится на ISR. > ip route может стоит попробовать? т.е. статикой отдавать?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
	Сообщение от crash (ok) on 08-Июл-17, 10:50
	>>> И если без белых IP т.е. натить на ASA, то как мне >>> передать блок PI AS на асу, если BGP строится на ISR. >> ip route может стоит попробовать? > т.е. статикой отдавать? ну на ASA естественно статикой, можно между асой и роутером ospf поднять, если хочется.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
	Сообщение от denergym (ok) on 09-Июл-17, 10:02
	>> И если без белых IP т.е. натить на ASA, то как мне >> передать блок PI AS на асу, если BGP строится на ISR. > ip route может стоит попробовать? Правильно ли я понял? ISR ---Для плавного перевода дроблю сетку на 2 первая остается на лупбэках на которых сейчас статик нат ,Вторая уходит на асу и плавно перемещаю сервера ---создаю интерфейс interface gi0.110 enc dot1q 110 ip address x.x.6.129 255.255.255.128 создаю 2 маршрута на лупбэки на которрых сейчас работает статик нат ip route x.x.6.0 255.255.255.128 Null0 tag 609 name aggregate-to-bgp на асу ip route x.x.6.128 255.255.255.128 x.x.6.254 --- Вопрос как мне теперь анонсировать маршрут? Если сейчас это происходит редистрибьюцией маршрута address-family ipv4 redistribute static route-map static-to-bgp route-map static-to-bgp permit 10 match tag 609 set local-preference 1000 set origin igp set community 609 --- ASA --- interface gi0.110 vlan 110 ip address x.x.6.254 255.255.255.128 --- route outside 0.0.0.0 0.0.0.0 x.x.6.129 На серверах беру ip из сетки x.x.6.128/25 и шлюзом ставлю x.x.6.254 верно? Поправте пожалуйста если что не так.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
Сообщение от BJ (ok) on 07-Июл-17, 22:49
> а судя по best practice сервера DMZ > должны иметь белые IP. Это всего чьё то мнение, возможно ошибочное.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
	Сообщение от denergym (ok) on 09-Июл-17, 09:19
	>> а судя по best practice сервера DMZ >> должны иметь белые IP. > Это всего чьё то мнение, возможно ошибочное. а как Вы считаете лучше?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

7. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
Сообщение от eek (ok) on 10-Июл-17, 10:56
Лучше делать от задачи: 1) Если основная задача это защита серверов в DMZ и основной траффик внешний то удобно делать для DMZ белые адреса. 2) Если основная задача это защита внутренних сетей от DMZ и основной траффик будет между DMZ и внутренними сетями, то удобнее чтобы в DMZ были серые адреса, и в наружу делать NAT. 3) Так же при проектировании очень желательно понимать какое взаимодействий будет между серверами внутри DMZ, там тоже могут быть разные интересные особенности.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "ISR (AS PI + BGP Full view) + ASA DMZ"	+/–
	Сообщение от denergym (ok) on 10-Июл-17, 12:28
	> Лучше делать от задачи: > 1) Если основная задача это защита серверов в DMZ и основной траффик > внешний то удобно делать для DMZ белые адреса. > 2) Если основная задача это защита внутренних сетей от DMZ и основной > траффик будет между DMZ и внутренними сетями, то удобнее чтобы в > DMZ были серые адреса, и в наружу делать NAT. > 3) Так же при проектировании очень желательно понимать какое взаимодействий будет между > серверами внутри DMZ, там тоже могут быть разные интересные особенности. спасибо, развернуто
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору