The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ASA + ProCurve"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"ASA + ProCurve"  +/
Сообщение от MVictorL email(ok) on 22-Ноя-11, 18:29 
Помогите, пожалуйста, сделать два сервера (две разные подсети) на одном интерфейсе DMZ ASA.

Я сделал на коммутаторе ProCurve 2610 два дополнительных (к дефолтовому DEFAULT_VLAN) VLAN'а: 2_VLAN (ID 2) и 3_VLAN (ID 3).
Далее:
- исключил порты 1, 2, 3 из DEFAULT_VLAN;
- добавил порт 1 в 2_VLAN, как Tagged, а порт 2, как Untagged;
- добавил порт 1 в 3_VLAN, как Tagged, а порт 3, как Untagged;
- к порту 2 подключил сервер_1 (192.168.1.10);
- к порту 3 подключил сервер_2 (192.168.2.10);
- к порту 1 подключил DMZ-интерфейс ASA и назначил на ней VLAN'ы:

-- Cut --
interface GigabitEthernet0/1.2
vlan 2
nameif 2_VLAN
security-level 10
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1.3
vlan 3
nameif 3_VLAN
security-level 10
ip address 192.168.2.1 255.255.255.0
!
-- Cut --

Правильно ли я рассуждаю и поступаю?
Почему я не могу пингануть ни с ASDM подключенные сервера, ни с серверов DMZ-интерфейс?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ASA + ProCurve"  +/
Сообщение от Aleks305 (ok) on 22-Ноя-11, 22:15 
>[оверквотинг удален]
> interface GigabitEthernet0/1.3
>  vlan 3
>  nameif 3_VLAN
>  security-level 10
>  ip address 192.168.2.1 255.255.255.0
> !
> -- Cut --
> Правильно ли я рассуждаю и поступаю?
> Почему я не могу пингануть ни с ASDM подключенные сервера, ни с
> серверов DMZ-интерфейс?

вроде все ок,только не забудьте, что у Вас security-level одинаков

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA + ProCurve"  +/
Сообщение от MVictorL email(ok) on 23-Ноя-11, 10:11 
> вроде все ок,только не забудьте, что у Вас security-level одинаков

Да, заработало! Спасибо!

По поводу security-level -- я как бы осмысленно это сделал: сервера (по назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться не должны.
Правильно я рассуждал?

И если вы уже отозвались, не поможете мне разобраться, как дать доступ к этим DMZ-серверам из внутренней сети (inside)?  :-)

В мануале, который шел с ASA, описывался метод, но я к своему стыду не смог разобраться...
Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по их публичным (Интернет) адресам, которые прописаны во внешних DNS...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA + ProCurve"  +/
Сообщение от Aleks305 (ok) on 23-Ноя-11, 13:47 
>[оверквотинг удален]
> По поводу security-level -- я как бы осмысленно это сделал: сервера (по
> назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться
> не должны.
> Правильно я рассуждал?
> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
> к этим DMZ-серверам из внутренней сети (inside)?  :-)
> В мануале, который шел с ASA, описывался метод, но я к своему
> стыду не смог разобраться...
> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
> их публичным (Интернет) адресам, которые прописаны во внешних DNS...

прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, на ip внутренний. Только если inside и DMZ с одинаковым sec-level надо будет разрешать ходить трафик между ними дополнительной командой, либо на inside поднимать seclevel

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ASA + ProCurve"  +/
Сообщение от Николай_kv on 23-Ноя-11, 14:28 
>[оверквотинг удален]
>> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
>> к этим DMZ-серверам из внутренней сети (inside)?  :-)
>> В мануале, который шел с ASA, описывался метод, но я к своему
>> стыду не смог разобраться...
>> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
>> их публичным (Интернет) адресам, которые прописаны во внешних DNS...
> прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip,
> на ip внутренний. Только если inside и DMZ с одинаковым sec-level
> надо будет разрешать ходить трафик между ними дополнительной командой, либо на
> inside поднимать seclevel

Хождение трафика между интерфейсам с различным sec-level открывается ацес листами на данных интерфейсах

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру