Сообщения без ответов | Активные темы Текущее время: 04 июл 2020, 14:25



Ответить на тему  [ Сообщений: 21 ] 
ASA BGP 
Автор Сообщение

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
Добрый день, есть ASA5512-x на бордере, в данный момент подключена к двум провайдерам, на двух внешних интерфейсах адреса из 2х разных провайдерских сетей. Решили переходить на bgp,
получили AS и PA сеть x.x.x.x/24, договрились с провайдером настроить пиринг (пока с одним, в перспективе ессно второй). Провайдер выделил стыковочную сеть /30
Вопрос, в следующем, на какой интерфейс в ASA будут вешаться адреса из нашей сети x.x.x.x/24, loopback на ней нет, а bridge_group для ната/ipsec использовать нельзя, прошу не пинать тк с bgp дела раньше не имел


30 апр 2020, 13:53
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2037
Откуда: Волгоград
konst писал(а):
Добрый день, есть ASA5512-x на бордере, в данный момент подключена к двум провайдерам, на двух внешних интерфейсах адреса из 2х разных провайдерских сетей. Решили переходить на bgp,
получили AS и PA сеть x.x.x.x/24, договрились с провайдером настроить пиринг (пока с одним, в перспективе ессно второй). Провайдер выделил стыковочную сеть /30
Вопрос, в следующем, на какой интерфейс в ASA будут вешаться адреса из нашей сети x.x.x.x/24, loopback на ней нет, а bridge_group для ната/ipsec использовать нельзя, прошу не пинать тк с bgp дела раньше не имел


bgp на асе это трэш. ставь нормальный роутер.


30 апр 2020, 18:03
Профиль ICQ

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
_2e_ писал(а):
bgp на асе это трэш. ставь нормальный роутер.

треш не треш, а ехать нужно, как бы ты на роутере сделал?


30 апр 2020, 18:22
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
Вот вам пример

адреса навешиваете на внутренний интерфейс

пример для в6 но тоже самое можно и для в4

!
ipv6 prefix-list ipv6_ASXXXX_prefix_list description ipv6_ASXXXX_prefix_list
ipv6 prefix-list ipv6_ASXXXX_prefix_list seq 1 permit XXXX::/48
!
!
route-map ASXXXX_ROUTE_MAP permit 1
set metric 0
set metric-type type-1

set local-preference 500
!
router bgp XXXX
bgp log-neighbor-changes
bgp always-compare-med
address-family ipv6 unicast
neighbor XXXX::1 remote-as XXXX
neighbor XXXX::1 activate
neighbor XXXX::1 prefix-list ipv6_ASXXXX_prefix_list out
network C222-48 XXXX::/48
bgp suppress-inactive
redistribute connected route-map ASXXXX_ROUTE_MAP
no synchronization
exit-address-family


30 апр 2020, 18:52
Профиль

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
root99 писал(а):
адреса навешиваете на внутренний интерфейс

на какой внутренний, если его нет? :?


30 апр 2020, 19:56
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
на тот интерфейс который будет смотреть внутрь вашей организации

или вы хотите сказать что кроме двух аплинков больше других интерфейсов не будет

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address X.X.X.X X.X.X.X
ipv6 address XXXX
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address X.X.X.X X.X.X.X
ipv6 address XXXX
ipv6 address XXXX


30 апр 2020, 20:23
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2037
Откуда: Волгоград
я наёбся с бгп на асе - вам это только предстоит. удачи.


30 апр 2020, 20:55
Профиль ICQ

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
Ради бога - ничего особенного раз два пять минут максимум....


30 апр 2020, 21:23
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2037
Откуда: Волгоград
root99 писал(а):
Ради бога - ничего особенного раз два пять минут максимум....


=)


30 апр 2020, 21:52
Профиль ICQ

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
root99 писал(а):
на тот интерфейс который будет смотреть внутрь вашей организации
или вы хотите сказать что кроме двух аплинков больше других интерфейсов не будет

не понял Вашей мысли, вешать белые ip на внутренний интерфейс?
кроме двух аплинков отдельный dmz и порядка 5 саб интерфейсов для внутренних сетей
так кто-ть пиринг то спровайдером по bgp на асе завел по итогу?


01 май 2020, 19:43
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1096
вы определитесь для чего вам АСА если это бордер то вашу подсеть белую нужно вешать на интерфейс смотрящую во внутрь сети, конфиг представлен выше, или включите АСДМ и натыкайте галочек......


01 май 2020, 21:02
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 403
Видишь на циско-треды, смотришь на srx в хозяйстве, и невзначай перекрестишься, люди с таким упорством любят страдать...


02 май 2020, 01:26
Профиль

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
root99 писал(а):
вы определитесь для чего вам АСА если это бордер то вашу подсеть белую нужно вешать на интерфейс смотрящую во внутрь сети, конфиг представлен выше, или включите АСДМ и натыкайте галочек......

я чуть выше Вашего конфига написал как включена АСА в данный момент и там же написано для чего она (ipsec, nat), суть вопроса: можно ли на АСА одновременно настроить пиринг по BGP с двуммя провайдерами оставив на ней функционал firewall периметра сети, если да, то единственно что меня отделяет от понимая схема работы - это где в этой схеме у нее должен быть внешний интерфейс с адресом из моей PI сети /24, для НАТа и ipsec


02 май 2020, 15:05
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 282
схемы каждый строит себе сам, вопрос из разряда "я архитектор, дом рисую, на какой стене у него должно быть окно"
/24 PI вообще может быть и не на внешнем интерфейсе, может быть и не /24 вообще, а на кусочки поделен, может быть и вообще не на бордере, а на L3 коммутаторе вланом настроено, и маршрутизироваться на асу
если надо натить обязательно в эти адреса, то можно просто пул завести на асе, я не помню, требуется ли на ней в этом случае ифейс из этих адресов
а вообще на бордер обычно роутер ставят, а аса за ним бы натила и фаерволила без bgp


03 май 2020, 09:54
Профиль

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
ikiliikkuja писал(а):
схемы каждый строит себе сам, вопрос из разряда "я архитектор, дом рисую, на какой стене у него должно быть окно"

ответ из из разряда, по теме сказать нечего, но обязательно нужно что-то написать. Я не спрашивал как нарезать или проанонсировать сеть /24 при наличии роутера или l3 коммутатора(с поддержкой bgp). Вопрос выше и специально выделен жирным текстом. Повторю еще раз, вводные задачки, дано: asa 5512-x, сеть /24 и AS, провайдер выдавший /30 стыковочную сеть и готовый аносировать нашу подсеть.
За АСА внутренние серые сети заказчика. Вопрос: на какой инт АСА вешать адреса из своей PI сети (что у нее будет outside в данномм случае)?


03 май 2020, 14:22
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 282
мда, если в голове кость, то только огрызаться и остается
я несколько вариантов дизайна накидал, а не как нарезать сеть на кусочки
сеть /24 вообще может и не быть на асе настроена ни в каком виде, вы ее можете прямо белыми адресами кустомерам отдать с маршрутизацией на них, и она будет соответственно в инсайде, на аут будет тот интерфейс, где у вас /30 стык с провайдером

зы: а еще будет хохма с bgp когда трафик от клиента уйдет в один ифейс, а ответный зайдет через другого провайдера, и аса его с успехом подропает


03 май 2020, 15:22
Профиль

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
ikiliikkuja писал(а):
мда, если в голове кость, то только огрызаться и остается

воздержусь от перехода на личности, начатого Вами.
Опять написали много очевидных вещей, которые в данном случае не к селу не к городу. :roll:


03 май 2020, 18:41
Профиль

Зарегистрирован: 15 окт 2015, 21:32
Сообщения: 26
Cоздайте роут с Administrative Distance (AD) 254 на свой же local.p2p.gw.ISP или любой другой локальный адрес
route outside x.x.x.x 255.255.255.0 local.p2p.gw.ISP 254
Такая конструкция дает возможность вам добавить Public сеть x.x.x.x/24 в таблицу ройтинга ASA и потом можно будет спокойно объявить этот префикс в процессе BGP


04 май 2020, 12:05
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 727
Вопрос к топикстартеру: а как Вы планировали использовать это /24 PI?


05 май 2020, 12:23
Профиль

Зарегистрирован: 02 апр 2012, 11:55
Сообщения: 10
Black Fox писал(а):
Вопрос к топикстартеру: а как Вы планировали использовать это /24 PI?

НАТ на внутренние ресурсы


05 май 2020, 16:24
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 727
Этот NAT сама ASA должна делать или кто-то другой?


06 май 2020, 13:11
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 21 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot], Maxische и гости: 19


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB