The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ASA 5510 проблема с правилами, не могу понять что не так делаю"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от karlos2004 email(ok) on 05-Фев-12, 21:04 
Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый опыт.
Есть : 2 внутренних сети и выход в нет. Из одной внутренний подсети хожу в инет, с консоли пингую все 3 подсоединенные сети, но inside -- inside2 сети друг друга не видят. Натолкните на мысль, что у меня не так

Интерфейсы:

Outside: 94.72.3.242 255.255.255.248
Inside: 10.100.1.254 255.255.0.0
Inside2: 192.168.8.253 255.255.255.0

конфа:

hostname gsk
!
domain name firstgsk.ru
!
interface eth0/0
nameif outside
security-level 0
ip address 94.72.3.242 255.255.255.248
no shut
!
int eth0/1
nameif inside
security-level 100
ip address 10.100.1.254 255.255.0.0
no shut
!
!
int eth0/2
nameif inside2
security-level 100
ip address 192.168.8.253 255.255.255.0
no shut
!

same-security-traffic permit inter-interface


route outside 0.0.0.0 0.0.0.0 94.72.3.241 1
nat (inside) 1 10.100.0.0 255.255.0.0
nat (inside2) 1 192.168.8.0 255.255.255.0

global (outside) 1 interface

static (inside,inside2) 10.100.0.0 10.100.0.0 netmask 255.255.255.0
static (inside2,inside) 192.168.8.0 192.168.8.0 netmask 255.255.255.0

static (inside,outside) tcp interface smtp 10.100.1.3 smtp netmask 255.255.255.255
static (inside,outside) tcp interface https 10.100.1.3 https netmask 255.255.255.255

access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any source-quench
access-list 101 extended permit icmp any any time-exceeded
access-list 101 extended permit icmp any any unreachable
access-list 101 extended permit tcp any interface outside eq https
access-list 101 extended permit tcp any interface outside eq smtp
access-list 102 extended permit icmp any any echo-reply
access-list 102 extended permit icmp any any source-quench
access-list 102 extended permit icmp any any unreachable
access-list 102 extended permit icmp any any time-exceeded
access-list 103 extended permit icmp any any echo-reply
access-list 103 extended permit icmp any any source-quench
access-list 103 extended permit icmp any any unreachable
access-list 103 extended permit icmp any any time-exceeded

access-group 101 in interface outside


route inside2 192.168.1.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.2.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.3.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.4.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.5.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.17.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.20.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.33.0 255.255.255.0 192.168.8.250 1
route inside2 192.168.102.0 255.255.255.0 192.168.8.250 1

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от Dima (??) on 05-Фев-12, 22:20 
> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
> опыт.
> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
> но inside -- inside2 сети друг друга не видят. Натолкните на
> мысль, что у меня не так

Возможно ограничение лицензии.
при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и Office VLAN между собой не отрабатывают.

проверяйте sh ver

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от karlos2004 email(ok) on 05-Фев-12, 22:41 
>> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
>> опыт.
>> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
>> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
>> но inside -- inside2 сети друг друга не видят. Натолкните на
>> мысль, что у меня не так
> Возможно ограничение лицензии.
> при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и
> Office VLAN между собой не отрабатывают.
> проверяйте sh ver

нет Vlan, Это 5510 а не 5505 (я уже прочитался про различия)
И


Cisco ASA 5510 Security Appliance - межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA по сравнению с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от Seva (??) on 05-Фев-12, 22:36 
по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl нужен, или почитать как это делается.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от karlos2004 email(ok) on 05-Фев-12, 22:40 
> по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl
> нужен, или почитать как это делается.

А это на что ?

same-security-traffic permit inter-interface

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от rakis (ok) on 06-Фев-12, 07:46 
access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0

nat (inside) 0 access-list nonat
nat (inside2) 0 access-list nonat

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от karlos2004 email(ok) on 06-Фев-12, 08:43 
> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
> nat (inside) 0 access-list nonat
> nat (inside2) 0 access-list nonat

2 раза permit-то зачем ?

Но идея помогла ! СПАСИБО !!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от karlos2004 email(ok) on 06-Фев-12, 13:34 
>> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>> nat (inside) 0 access-list nonat
>> nat (inside2) 0 access-list nonat
> 2 раза permit-то зачем ?
> Но идея помогла ! СПАСИБО !!

Еще момент - при команде copy running-config startup-config такая вот фигня ... как с эти жить ?

Result of the command: "copy running-config startup-config"

Source filename [running-config]?
?Bad filename

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ASA 5510 проблема с правилами, не могу понять что не так делаю"  +/
Сообщение от Serg (??) on 03-Окт-13, 10:56 
>[оверквотинг удален]
>>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>>> nat (inside) 0 access-list nonat
>>> nat (inside2) 0 access-list nonat
>> 2 раза permit-то зачем ?
>> Но идея помогла ! СПАСИБО !!
> Еще момент - при команде copy running-config startup-config такая вот фигня ...
> как с эти жить ?
> Result of the command: "copy running-config startup-config"
> Source filename [running-config]?
> ?Bad filename

wr mem

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру