The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как настроить route-map"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Как настроить route-map"  +/
Сообщение от Alexander (??) on 04-Мрт-10, 17:55 
Добрый день. есть такая задачка..
схема тут :http://s003.radikal.ru/i202/1003/c1/50e0528bdca5.jpg


Нужно зарулить сеть 10.1.190.0 через асу в дмз

на 6509 есть маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 10.2.28.4
для того что бы пустить 190 влан по другому маршруту. т.е. хосты из 190 влана должны ходить через интерфейс асы инсайд через нат в оутсайд и собственно к двум хостам в дмз.

написав роутмап я заставих хосты из 190 влана ходить через инсайд в оутсайд, но как мне зароутить что бы хосты из 190 влана ходили в дмз через инсайд именно на два этих хоста 10.1.1.150 и 151


на 6509


interface Vlan101                                                              
description TEST2                                                                
ip address 10.1.1.1 255.255.255.0                                              
ip helper-address 192.168.18.16                                                
no ip redirects


interface Vlan190                                                              
description TEST                                                              
ip address 10.1.190.1 255.255.255.0                                            
ip helper-address 192.168.18.16                                                
no ip redirects                                                                
ip policy route-map net-TEST


ip access-list extended Vlan_route
deny ip any any

ip access-list extended vlan_TEST                                              
permit ip 10.1.190.0 0.0.0.255 any


route-map net-TEST deny 10                                                      
match ip address Vlan_route  

route-map net-TEST permit 20                                                    
match ip address vlan_TEST                                                    
set ip next-hop 10.2.26.4


в данном случае.. если я обращаюсь к внешним хостам, то иду через инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151 я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты идут через дмз на инсайд. Хочется что бы и прямые пакеты тоже ходили через асу. Это можно как-то сделать?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как настроить route-map"  +/
Сообщение от GByte email(??) on 04-Мрт-10, 18:45 
В чем сакральный смысл DMZ, если у 6509 в этой сети есть IP?

DMZ и строится для того чтобы изолировать сервера доступные из интернета и контролировать их доступ к LAN.

Получается DMZ становится дырявой.

Может дизайн пересмотреть? чтобы потом небыло мучительно больно...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Как настроить route-map"  +/
Сообщение от Alexander (??) on 05-Мрт-10, 09:42 
>В чем сакральный смысл DMZ, если у 6509 в этой сети есть
>IP?
>
>DMZ и строится для того чтобы изолировать сервера доступные из интернета и
>контролировать их доступ к LAN.
>
>Получается DMZ становится дырявой.
>
>Может дизайн пересмотреть? чтобы потом небыло мучительно больно...

Это понятно. Ситуация такая, есть серверный влан 101, живет он на 6509, купили асу, хотим построить как положено, что бы пользователи к серверам ходили через асу, без ната в дмз, в мир ессесно через нат. Выделили 2 сервака и на них хотим протестить такую схему.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Как настроить route-map"  +/
Сообщение от GByte email(??) on 04-Мрт-10, 18:49 
>
>в данном случае.. если я обращаюсь к внешним хостам, то иду через
>инсайд в оутсайд и далее, а к хостам 10.1.1.150 и 151
>я попрежнему хожу внутри 6509 в соотвествии с директ-конектом, но так
>как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты
>идут через дмз на инсайд. Хочется что бы и прямые пакеты
>тоже ходили через асу. Это можно как-то сделать?

Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT.
Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в таком случае хосты будут видеть что к ним обращается хост из их подсети и будут отвечать ему напрямую.

ip nat outside.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Как настроить route-map"  +/
Сообщение от Alexander (??) on 05-Мрт-10, 09:43 
>[оверквотинг удален]
>>как на хостах гейтом выступает интерфейс дмз асы то обратные пакеты
>>идут через дмз на инсайд. Хочется что бы и прямые пакеты
>>тоже ходили через асу. Это можно как-то сделать?
>
>Чтобы 10.1.1.150 и 151 отвечали обратно на интерфейс 6509 нужен NAT.
>Прячешь всех кто идет в ДМЗ напрямую за ИПшником 6509 - в
>таком случае хосты будут видеть что к ним обращается хост из
>их подсети и будут отвечать ему напрямую.
>
>ip nat outside.

NAt на 6509? Такой вариант не подходит. Натом должна заниматься толька АСА. А вариантов с роут-мапом нет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Как настроить route-map"  +/
Сообщение от Gbyte email(ok) on 05-Мрт-10, 14:48 
Есть вариант либо на 6509 из серверного вилана убрать ip address, либо НАТить юзеров в ИП-адрес сети вилана.

Я лично других способов заставить хост идти в другой гейт не знаю.
Либо прописать на серверах еще и маршрут в ЛАН не через АСУ, а через 6509.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру