|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Автор |
Сообщение |
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
Добрый день, есть ASA5512-x на бордере, в данный момент подключена к двум провайдерам, на двух внешних интерфейсах адреса из 2х разных провайдерских сетей. Решили переходить на bgp, получили AS и PA сеть x.x.x.x/24, договрились с провайдером настроить пиринг (пока с одним, в перспективе ессно второй). Провайдер выделил стыковочную сеть /30 Вопрос, в следующем, на какой интерфейс в ASA будут вешаться адреса из нашей сети x.x.x.x/24, loopback на ней нет, а bridge_group для ната/ipsec использовать нельзя, прошу не пинать тк с bgp дела раньше не имел
|
30 апр 2020, 13:53 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
konst писал(а): Добрый день, есть ASA5512-x на бордере, в данный момент подключена к двум провайдерам, на двух внешних интерфейсах адреса из 2х разных провайдерских сетей. Решили переходить на bgp, получили AS и PA сеть x.x.x.x/24, договрились с провайдером настроить пиринг (пока с одним, в перспективе ессно второй). Провайдер выделил стыковочную сеть /30 Вопрос, в следующем, на какой интерфейс в ASA будут вешаться адреса из нашей сети x.x.x.x/24, loopback на ней нет, а bridge_group для ната/ipsec использовать нельзя, прошу не пинать тк с bgp дела раньше не имел bgp на асе это трэш. ставь нормальный роутер.
|
30 апр 2020, 18:03 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
_2e_ писал(а): bgp на асе это трэш. ставь нормальный роутер. треш не треш, а ехать нужно, как бы ты на роутере сделал?
|
30 апр 2020, 18:22 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Вот вам пример
адреса навешиваете на внутренний интерфейс
пример для в6 но тоже самое можно и для в4
! ipv6 prefix-list ipv6_ASXXXX_prefix_list description ipv6_ASXXXX_prefix_list ipv6 prefix-list ipv6_ASXXXX_prefix_list seq 1 permit XXXX::/48 ! ! route-map ASXXXX_ROUTE_MAP permit 1 set metric 0 set metric-type type-1
set local-preference 500 ! router bgp XXXX bgp log-neighbor-changes bgp always-compare-med address-family ipv6 unicast neighbor XXXX::1 remote-as XXXX neighbor XXXX::1 activate neighbor XXXX::1 prefix-list ipv6_ASXXXX_prefix_list out network C222-48 XXXX::/48 bgp suppress-inactive redistribute connected route-map ASXXXX_ROUTE_MAP no synchronization exit-address-family
|
30 апр 2020, 18:52 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
root99 писал(а): адреса навешиваете на внутренний интерфейс на какой внутренний, если его нет?
|
30 апр 2020, 19:56 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
на тот интерфейс который будет смотреть внутрь вашей организации
или вы хотите сказать что кроме двух аплинков больше других интерфейсов не будет
interface GigabitEthernet0/0 nameif outside security-level 0 ip address X.X.X.X X.X.X.X ipv6 address XXXX ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 nameif inside security-level 100 ip address X.X.X.X X.X.X.X ipv6 address XXXX ipv6 address XXXX
|
30 апр 2020, 20:23 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
я наёбся с бгп на асе - вам это только предстоит. удачи.
|
30 апр 2020, 20:55 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Ради бога - ничего особенного раз два пять минут максимум....
|
30 апр 2020, 21:23 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
root99 писал(а): Ради бога - ничего особенного раз два пять минут максимум.... =)
|
30 апр 2020, 21:52 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
root99 писал(а): на тот интерфейс который будет смотреть внутрь вашей организации или вы хотите сказать что кроме двух аплинков больше других интерфейсов не будет не понял Вашей мысли, вешать белые ip на внутренний интерфейс? кроме двух аплинков отдельный dmz и порядка 5 саб интерфейсов для внутренних сетей так кто-ть пиринг то спровайдером по bgp на асе завел по итогу?
|
01 май 2020, 19:43 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
вы определитесь для чего вам АСА если это бордер то вашу подсеть белую нужно вешать на интерфейс смотрящую во внутрь сети, конфиг представлен выше, или включите АСДМ и натыкайте галочек......
|
01 май 2020, 21:02 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Видишь на циско-треды, смотришь на srx в хозяйстве, и невзначай перекрестишься, люди с таким упорством любят страдать...
|
02 май 2020, 01:26 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
root99 писал(а): вы определитесь для чего вам АСА если это бордер то вашу подсеть белую нужно вешать на интерфейс смотрящую во внутрь сети, конфиг представлен выше, или включите АСДМ и натыкайте галочек...... я чуть выше Вашего конфига написал как включена АСА в данный момент и там же написано для чего она (ipsec, nat), суть вопроса: можно ли на АСА одновременно настроить пиринг по BGP с двуммя провайдерами оставив на ней функционал firewall периметра сети, если да, то единственно что меня отделяет от понимая схема работы - это где в этой схеме у нее должен быть внешний интерфейс с адресом из моей PI сети /24, для НАТа и ipsec
|
02 май 2020, 15:05 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
схемы каждый строит себе сам, вопрос из разряда "я архитектор, дом рисую, на какой стене у него должно быть окно" /24 PI вообще может быть и не на внешнем интерфейсе, может быть и не /24 вообще, а на кусочки поделен, может быть и вообще не на бордере, а на L3 коммутаторе вланом настроено, и маршрутизироваться на асу если надо натить обязательно в эти адреса, то можно просто пул завести на асе, я не помню, требуется ли на ней в этом случае ифейс из этих адресов а вообще на бордер обычно роутер ставят, а аса за ним бы натила и фаерволила без bgp
|
03 май 2020, 09:54 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
ikiliikkuja писал(а): схемы каждый строит себе сам, вопрос из разряда "я архитектор, дом рисую, на какой стене у него должно быть окно" ответ из из разряда, по теме сказать нечего, но обязательно нужно что-то написать. Я не спрашивал как нарезать или проанонсировать сеть /24 при наличии роутера или l3 коммутатора(с поддержкой bgp). Вопрос выше и специально выделен жирным текстом. Повторю еще раз, вводные задачки, дано: asa 5512-x, сеть /24 и AS, провайдер выдавший /30 стыковочную сеть и готовый аносировать нашу подсеть. За АСА внутренние серые сети заказчика. Вопрос: на какой инт АСА вешать адреса из своей PI сети (что у нее будет outside в данномм случае)?
|
03 май 2020, 14:22 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
мда, если в голове кость, то только огрызаться и остается я несколько вариантов дизайна накидал, а не как нарезать сеть на кусочки сеть /24 вообще может и не быть на асе настроена ни в каком виде, вы ее можете прямо белыми адресами кустомерам отдать с маршрутизацией на них, и она будет соответственно в инсайде, на аут будет тот интерфейс, где у вас /30 стык с провайдером
зы: а еще будет хохма с bgp когда трафик от клиента уйдет в один ифейс, а ответный зайдет через другого провайдера, и аса его с успехом подропает
|
03 май 2020, 15:22 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
ikiliikkuja писал(а): мда, если в голове кость, то только огрызаться и остается воздержусь от перехода на личности, начатого Вами. Опять написали много очевидных вещей, которые в данном случае не к селу не к городу.
|
03 май 2020, 18:41 |
|
|
pik
Зарегистрирован: 15 окт 2015, 21:32 Сообщения: 26
|
Cоздайте роут с Administrative Distance (AD) 254 на свой же local.p2p.gw.ISP или любой другой локальный адрес route outside x.x.x.x 255.255.255.0 local.p2p.gw.ISP 254 Такая конструкция дает возможность вам добавить Public сеть x.x.x.x/24 в таблицу ройтинга ASA и потом можно будет спокойно объявить этот префикс в процессе BGP
|
04 май 2020, 12:05 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Вопрос к топикстартеру: а как Вы планировали использовать это /24 PI?
|
05 май 2020, 12:23 |
|
|
konst
Зарегистрирован: 02 апр 2012, 11:55 Сообщения: 10
|
Black Fox писал(а): Вопрос к топикстартеру: а как Вы планировали использовать это /24 PI? НАТ на внутренние ресурсы
|
05 май 2020, 16:24 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Этот NAT сама ASA должна делать или кто-то другой?
|
06 май 2020, 13:11 |
|
|
landy_time
Зарегистрирован: 20 дек 2012, 11:06 Сообщения: 55
|
Господа, приношу пардону за некропост, но расскажите, в чём беда асы и bgp? Оно в принципе не заживёт с двумя провами и своей pi-зоной?
|
26 мар 2022, 22:49 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 40 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|