URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23177
[ Назад ]

Исходное сообщение
"Два пула реальных ip на одном канале"

Отправлено drumisco , 08-Окт-11 18:25 
Всем привет!!!
Помогите разобраться! Есть ASA5510, провайдер дал два пула белых адресов, основной а.а.а.0/28 и дополнительный б.б.б.0/28. С первым нет проблем, все работает. Второй не могу пристроить, все облазил, перечитал, не знаю с чего теперь начать... Прошу вашей помощи!

Вот кусок конфига:

interface Ethernet0/3
description OUTSIDE
nameif Outside
security-level 0
ip address а.а.а.2 255.255.255.240

!
object network MailServ
nat (DMZ,Outside) static а.а.а.4 dns
object network ProxyServ
nat (DMZ,Outside) static а.а.а.7 dns
object network KIt
nat (DMZ,Outside) dynamic interface dns
object network Web
nat (DMZ,Outside) static а.а.а.5 dns
access-group AclInInside in interface Inside
access-group AclOutInside out interface Inside
access-group AclInDMZ in interface DMZ
access-group AclOutDMZ out interface DMZ
access-group AclInOutside in interface Outside
access-group AclOutOutside out interface Outside
!
route Outside 0.0.0.0 0.0.0.0 а.а.а.1


Содержание

Сообщения в этом обсуждении
"Два пула реальных ip на одном канале"
Отправлено APach , 09-Окт-11 11:36 
Курите VRF.

"Два пула реальных ip на одном канале"
Отправлено Aleks305 , 09-Окт-11 17:29 
> Курите VRF.

а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда сделаете на ASA subinterface.
И



"Два пула реальных ip на одном канале"
Отправлено APach , 09-Окт-11 18:53 
Может быть и с тегом dot1q, но у каждой под-сети есть def. gateway,
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.

"Два пула реальных ip на одном канале"
Отправлено Elitebase , 09-Окт-11 21:06 
его надо куда то прописать, или тогда пускай провайдер пропишет у себя.



"Два пула реальных ip на одном канале"
Отправлено drumisco , 10-Окт-11 16:56 
>> Курите VRF.
> а нельзя ли попросить провайдера второй диапазон отдавать с тегом vlan. Тогда
> сделаете на ASA subinterface.
> И

Дело в том, что организация государственная, и договор об услугах с провайдером подписан и никаких изменений не будет, руководству до этих проблем глубоко фиолетово.
ISP сказали, что схема простая, все так работают, вы не исключение!


"Два пула реальных ip на одном канале"
Отправлено drumisco , 10-Окт-11 17:00 
К чему привязать второй пул даже не представляю. К физическому интерфейсу никак не привязать...
Как вообще с такими задачами быть, с чего начать!?
Про VRF почитал - муть. Это глобально перестраивать конфиг, а хотелось бы без длительных простоев ну и т.д.

"Два пула реальных ip на одном канале"
Отправлено APach , 10-Окт-11 17:07 
Первый оставте так как есть, второй загоните в VRF, да описание топологии желательно,
а как использовать собираетесь, один основной другой резервный, или два одновремено?

"Два пула реальных ip на одном канале"
Отправлено drumisco , 11-Окт-11 16:02 
> Первый оставте так как есть, второй загоните в VRF, да описание топологии
> желательно,
> а как использовать собираетесь, один основной другой резервный, или два одновремено?

Использовать собираюсь одновременно.
по топологии:

ПРОВАЙДЕР
    |
а.а.а.1(шлюз провайдера)
    |
а.а.а.14(интерфейс на ASA5510)
    |
nat(в серые адреса 10,10,10,0/24)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1

Это так работает сейчас!!!!
Нужно что бы было примерно так:

                                     ПРОВАЙДЕР
                                         |
                               а.а.а.1(шлюз провайдера)
                                         |
        а.а.а.14(интерфейс на ASA5510)       б.б.б.0/28
    |                                            |
nat(в серые адреса)                         nat(в серые адреса)
route Outside 0.0.0.0 0.0.0.0 а.а.а.1 1     route Outside 0.0.0.0 0.0.0.0 а.а.а.2



"Два пула реальных ip на одном канале"
Отправлено drumisco , 11-Окт-11 16:03 
Если использовать VRF.... как его настроить?

"Два пула реальных ip на одном канале"
Отправлено APach , 11-Окт-11 20:23 
На интерфейс добавите 2 саб-интерфеса, каждый из которых в отдельный
vrf, а дальше нат в самом vrf.

"Два пула реальных ip на одном канале"
Отправлено spunky , 12-Окт-11 19:53 
чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28, т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется. У тебя, соответственно, эта сеть так же на руках без проблем, и маршрут наружу известно как проложен. А вот что с сетью б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он собирается доставлять пакеты в эту сеть? Или у него в том же сегменте ещё и б.б.б.1/28 имеется?

"Два пула реальных ip на одном канале"
Отправлено drumisco , 31-Окт-11 14:31 
> чисто так для разминки мозгов давай подумаем: шлюз провайдера в сети a.a.a.0/28,
> т.е. можно предполагать, что маршрут на эту сеть у провайдера имеется.
> У тебя, соответственно, эта сеть так же на руках без проблем,
> и маршрут наружу известно как проложен. А вот что с сетью
> б.б.б.0/28? Как на эту сеть организован маршрут у провайдера? Как он
> собирается доставлять пакеты в эту сеть? Или у него в том
> же сегменте ещё и б.б.б.1/28 имеется?

Провайдер сообщил, что организовал обратный маршрут(ну в нашу сторону) сети б.б.б.0/28. Для пула б.б.б.0/28 шлюзом выступает а.а.а.1

По идеи, мне просто нужно брать любой адрес из б.б.б.0 и натить и все должно работать, но этого нет.
Есть два варианта, либо это дело в провайдере, либо в конфиге!
Задача, разобраться и доказать... что все работает


"Два пула реальных ip на одном канале"
Отправлено APach , 31-Окт-11 14:34 
Что Вы имете в виду в варианте НАТИТЬ.

"Два пула реальных ip на одном канале"
Отправлено drumisco , 01-Ноя-11 13:30 
> Что Вы имете в виду в варианте НАТИТЬ.

object network MailServ
network-object host 10.10.10.10
nat (DMZ,Outside) static a.a.a.4 dns
access-list AclInOutside extended permit ip any object MailServ

В такой конструкции работает с первым пулом.
По идеи, моя вторая сеть б.б.б.0/24 видна для сети а.а.а.0/24
Когда прописываю

object network MailServ
nat (DMZ,Outside) static б.б.б.4 dns

то почтовый сервер(например) не выходит на внешку.
Вот такая конструкция