|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Автор |
Сообщение |
Saian
Зарегистрирован: 22 окт 2019, 01:15 Сообщения: 5
|
Добрый день! Возник вопрос с доступом между vrf. Имеется корпоративная сеть, поделенная на сегменты управления и корп. Сегменты не должны пересекаться. Вышло так, что у меня оборудование оказалось в vrf corp, а удаленный сервер в vrf mgmt. Оборудование находится на удаленной площадке и подключено к СПД заказчика в vrf corp, к которому у меня нет доступа. Между сетью заказчика и нами настроен стык по vrf-ам на ASA. Можно ли поднять подсеть на ASA из vrf MGMT и занатить на нее только 1 адрес оборудования из подсети vrf corp, чтобы сервер обращался к нему по MGMT?
|
01 ноя 2019, 12:31 |
|
|
Praporwik
Зарегистрирован: 10 июл 2019, 18:21 Сообщения: 103
|
схемку есть возможность начертить? стык по врф на аса - имеется ввиду, что для двух сетей указаны дефолт роутами интерфейсы асы, на которых уже настроены права доступа?
|
12 ноя 2019, 15:00 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
VRF на ASA - я надеюсь, не про security contexts речь. Что же до описанной задачи, то, имхо, тут проще утечку маршрутов между VRF'ами сделать и не привлекать ASA сюда.
|
13 ноя 2019, 23:10 |
|
|
Saian
Зарегистрирован: 22 окт 2019, 01:15 Сообщения: 5
|
Доброе утро! вот схема, vrf leaking запрещен. Есть несколько сегментов сети, разделенных по характеру трафика. На АСАх производится фильтрация маршрутов, к ним подключены мы и оборудование заказчика, сети не подключены напрямую к интерфейсам АСА, через маршрутизаторы.
Вложения:
схема.jpg [ 138.66 КБ | Просмотров: 5564 ]
|
18 ноя 2019, 09:41 |
|
|
Saian
Зарегистрирован: 22 окт 2019, 01:15 Сообщения: 5
|
Нет ли у кого работающего образа asav под свежий релиз gns3? А то старые версии не уже не поддерживаются в нем (((
Последний раз редактировалось Saian 18 ноя 2019, 14:12, всего редактировалось 1 раз.
|
18 ноя 2019, 14:02 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Saian писал(а): Нет ли ни у кого, работающего образа asav под свежий релиз gns3, а то старые версии не уже не поддерживаются в нем ((( eve-ng в руки. недавно такое там запускал: Код: ASAv-10# sh ver Cisco Adaptive Security Appliance Software Version 9.9(2) Firepower Extensible Operating System Version 2.3(1.84) Device Manager Version 7.9(2)
|
18 ноя 2019, 14:10 |
|
|
Saian
Зарегистрирован: 22 окт 2019, 01:15 Сообщения: 5
|
Спасибо _2e_ писал(а): Saian писал(а): Нет ли ни у кого, работающего образа asav под свежий релиз gns3, а то старые версии не уже не поддерживаются в нем ((( eve-ng в руки. недавно такое там запускал: Код: ASAv-10# sh ver Cisco Adaptive Security Appliance Software Version 9.9(2) Firepower Extensible Operating System Version 2.3(1.84) Device Manager Version 7.9(2)
|
18 ноя 2019, 14:17 |
|
|
Saian
Зарегистрирован: 22 окт 2019, 01:15 Сообщения: 5
|
вопрос по АСА 8,2 сеть 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.10.0/24 (не доступен), хотя сеть с такими же настройками 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.20.0/24 (доступен). Packet tracer тестовый трафик прогоняет по ACL, NAT и Ipsec успешно. ACLы, собирающие интересный трафик для NAT и IPSEC, идентичны. По sh xlate и conn соединений к 10.10.10.0/24 нет. Вопрос при настройке NAT, если в одной сессии к серверу1 IP хоста транслируется NAT, то для другой одновременной сессии будет проходить трансляция с использованием PAT? С АСЫ все хосты вижу, с хостов до 10.10.10.0/24 трассировка только шлюза. На том конце vpn работаю не я и там прописан доступ к серверам только от 172.16.0.0/24. Помогите настроить NAT нормально!!!
sh conn ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.10.25:0, idle 0:00:00, bytes 123808 ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.20.39:0, idle 0:00:00, bytes 32 TCP CORP 172.16.0.246(192.168.0.62):52063 TO-SAP-INT 10.10.20.24:3200, idle 0:09:53, bytes 846347, flags UIOB TCP CORP 172.16.0.226(192.168.0.27):50606 TO-SAP-INT 10.10.20.24:3200, idle 0:04:38, bytes 74197418, flags UIOB
sh xlate Global 172.16.0.80 Local 192.168.0.80 Global 172.16.0.246 Local 192.168.0.62 Global 172.16.0.226 Local 192.168.0.27
nat: global (TO-SAP-INT) 1 172.16.0.1-172.16.0.253 netmask 255.255.255.0 global (TO-SAP-INT) 2 172.16.0.254 nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL
sh access-list NAT-TO-SAP-TUNNEL access-list NAT-TO-SAP-TUNNEL line 1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list NAT-TO-SAP-TUNNEL line 2 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0
access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0 access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0 crypto map TO-SAP 20 match address SAP-PEER-1
packet-tracer input CORP tcp 192.168.0.80 7777 10.10.10.0 443
Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list
Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 10.10.10.0 255.255.255.0 TO-SAP-INT
Phase: 3 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information:
Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information:
Phase: 5 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect waas service-policy global_policy global Additional Information:
Phase: 6 Type: FOVER Subtype: standby-update Result: ALLOW Config: Additional Information: Phase: 7 Type: NAT Subtype: Result: ALLOW Config: nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL match ip CORP 192.168.0.0 255.255.255.0 TO-SAP-INT 10.10.10.0 255.255.255.0 dynamic translation to pool 1 (172.16.0.1 - 172.16.0.253) translate_hits = 1665, untranslate_hits = 22 Additional Information: Dynamic translate 192.168.0.0/0 to 172.16.0.80/0 using netmask 255.255.255.255
Phase: 8 Type: VPN Subtype: encrypt Result: ALLOW Config: Additional Information:
Phase: 9 Type: VPN Subtype: ipsec-tunnel-flow Result: ALLOW Config: Additional Information:
Phase: 10 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information:
Phase: 11 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 32293898, packet dispatched to next module
Result: input-interface: CORP input-status: up input-line-status: up output-interface: TO-SAP-INT output-status: up output-line-status: up Action: allow
|
27 фев 2020, 14:25 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 8 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 83 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|