The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Два пула реальных ip на одном канале"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 08-Окт-11, 18:25 
Всем привет!!!
Помогите разобраться! Есть ASA5510, провайдер дал два пула белых адресов, основной а.а.а.0/28 и дополнительный б.б.б.0/28. С первым нет проблем, все работает. Второй не могу пристроить, все облазил, перечитал, не знаю с чего теперь начать... Прошу вашей помощи!

Вот кусок конфига:

interface Ethernet0/3
description OUTSIDE
nameif Outside
security-level 0
ip address а.а.а.2 255.255.255.240

!
object network MailServ
nat (DMZ,Outside) static а.а.а.4 dns
object network ProxyServ
nat (DMZ,Outside) static а.а.а.7 dns
object network KIt
nat (DMZ,Outside) dynamic interface dns
object network Web
nat (DMZ,Outside) static а.а.а.5 dns
access-group AclInInside in interface Inside
access-group AclOutInside out interface Inside
access-group AclInDMZ in interface DMZ
access-group AclOutDMZ out interface DMZ
access-group AclInOutside in interface Outside
access-group AclOutOutside out interface Outside
!
route Outside 0.0.0.0 0.0.0.0 а.а.а.1

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Два пула реальных ip на одном канале"  +/
Сообщение от APach (ok) on 09-Окт-11, 11:36 
Курите VRF.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Два пула реальных ip на одном канале"  +/
Сообщение от Aleks305 (ok) on 09-Окт-11, 17:29 
> Курите VRF.

а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда сделаете на ASA subinterface.
И


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Два пула реальных ip на одном канале"  +/
Сообщение от APach (ok) on 09-Окт-11, 18:53 
Может быть и с тегом dot1q, но у каждой под-сети есть def. gateway,
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Два пула реальных ip на одном канале"  +/
Сообщение от Elitebase (ok) on 09-Окт-11, 21:06 
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 10-Окт-11, 16:56 
>> Курите VRF.
> а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда
> сделаете на ASA subinterface.
> И

Дело в том, что организация государственная, и договор об услугах с провайдером подписан и никаких изменений не будет, руководству до этих проблем глубоко фиолетово.
ISP сказали, что схема простая, все так работают, вы не исключение!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 10-Окт-11, 17:00 
К чему привязать второй пул даже не представляю. К физическому интерфейсу никак не привязать...
Как вообще с такими задачами быть, с чего начать!?
Про VRF почитал - муть. Это глобально перестраивать конфиг, а хотелось бы без длительных простоев ну и т.д.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Два пула реальных ip на одном канале"  +/
Сообщение от APach (ok) on 10-Окт-11, 17:07 
Первый оставте так как есть, второй загоните в VRF, да описание топологии желательно,
а как использовать собираетесь, один основной другой резервный, или два одновремено?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 11-Окт-11, 16:02 
> Первый оставте так как есть, второй загоните в VRF, да описание топологии
> желательно,
> а как использовать собираетесь, один основной другой резервный, или два одновремено?

Использовать собираюсь одновременно.
по топологии:

ПРОВАЙДЕР
    |
а.а.а.1(шлюз провайдера)
    |
а.а.а.14(интерфейс на ASA5510)
    |
nat(в серые адреса 10,10,10,0/24)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1

Это так работает сейчас!!!!
Нужно что бы было примерно так:

                                     ПРОВАЙДЕР
                                         |
                               а.а.а.1(шлюз провайдера)
                                         |
        а.а.а.14(интерфейс на ASA5510)       б.б.б.0/28
    |                                            |
nat(в серые адреса)                         nat(в серые адреса)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1     route Outside 0.0.0.0 0.0.0.0 а.а.а.2


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 11-Окт-11, 16:03 
Если использовать VRF.... как его настроить?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Два пула реальных ip на одном канале"  +/
Сообщение от APach (ok) on 11-Окт-11, 20:23 
На интерфейс добавите 2 саб-интерфеса, каждый из которых в отдельный
vrf, а дальше нат в самом vrf.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Два пула реальных ip на одном канале"  +/
Сообщение от spunky (ok) on 12-Окт-11, 19:53 
чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28, т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется. У тебя, соответственно, эта сеть так же на руках без проблем, и маршрут наружу известно как проложен. А вот что с сетью б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он собирается доставлять пакеты в эту сеть? Или у него в том же сегменте ещё и б.б.б.1/28 имеется?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 31-Окт-11, 14:31 
> чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28,
> т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется.
> У тебя, соответственно, эта сеть так же на руках без проблем,
> и маршрут наружу известно как проложен. А вот что с сетью
> б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он
> собирается доставлять пакеты в эту сеть? Или у него в том
> же сегменте ещё и б.б.б.1/28 имеется?

Провайдер сообщил, что организовал обратный маршрут(ну в нашу сторону) сети б.б.б.0/28. Для пула б.б.б.0/28 шлюзом выступает а.а.а.1

По идеи, мне просто нужно брать любой адрес из б.б.б.0 и натить и все должно работать, но этого нет.
Есть два варианта, либо это дело в провайдере, либо в конфиге!
Задача, разобраться и доказать... что все работает

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Два пула реальных ip на одном канале"  +/
Сообщение от APach (ok) on 31-Окт-11, 14:34 
Что Вы имете в виду в варианте НАТИТЬ.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Два пула реальных ip на одном канале"  +/
Сообщение от drumisco (ok) on 01-Ноя-11, 13:30 
> Что Вы имете в виду в варианте НАТИТЬ.

object network MailServ
network-object host 10.10.10.10
nat (DMZ,Outside) static a.a.a.4 dns
access-list AclInOutside extended permit ip any object MailServ

В такой конструкции работает с первым пулом.
По идеи, моя вторая сеть б.б.б.0/24 видна для сети а.а.а.0/24
Когда прописываю

object network MailServ
nat (DMZ,Outside) static б.б.б.4 dns

то почтовый сервер(например) не выходит на внешку.
Вот такая конструкция

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру