» » ASA с несколькими внутренними сетями

Лаборатория Сетей Cisco
 
 
 

ASA с несколькими внутренними сетями

Автор: HunSolo от 4-07-2013, 14:56, посмотрело: 4155

1 Данный документ описывает простейшую конфигурацию Cisco PIX Security Appliance 7.x или ASA 55xx с несколькими внутренними сетями, находящимися на inside интерфейсе. Для примера рассмотрим три внутренние сети, защищаемые ASA. В такой конфигурации будет использованы два внутренних роутера для осуществления маршрутизации между тремя сетями. Рекомендуется для начинающих администраторов сетей Cisco PIX или Cisco ASA.

Прежде чем вы добавите одну или несколько внутренних сетей за ASA, помните следующие правила
  • ASA не поддерживает вторичные адреса (secondary address)
  • ASA не может маршрутизировать пакеты для одного и того же интерфейса
  • Для обеспечения маршрутизации между существующей сетью и добавляемыми, вам необходим дополнительный роутер.
  • На всех хостах Шлюз по умолчанию должен смотреть в сторону внутреннего маршрутизатора
  • Шлюз по умолчанию на внутреннем роутере должен указывать на ASA

Рассмотрим сетевую диаграмму на рисунке
ASA с несколькими внутренними сетями

Обратите внимание, что шлюз по умолчанию на всех хостах сети 10.1.1.0 должен указывать на роутер А, а шлюз по умолчанию на роутерах А и В указывает на интерфейс inside ASA.

Конфигурация ASA
!--- Определяем внешний интерфейс и назначаем IP адрес ему
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0 
!
!--- Здесь определяем внутренний интерфейс и назначаем IP
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
! --- Если не определены правила трансляции для пакета, то дропим его
nat-control

!--- Рисуем NAT и PAT правила для исходящих пакетов 
global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0
global (outside) 1 172.16.1.4 netmask 255.255.255.0

!--- Здесь определяем какие пакеты подвергаются NAT/PAT преобразованию
nat (inside) 1 10.0.0.0 255.0.0.0

!--- Указываем маршруты во внетренние сети на соотвествующие роутеры
route inside 10.3.1.0 255.255.255.0 10.1.1.3 1
route inside 10.2.1.0 255.255.255.0 10.1.1.2 1

!--- Маршрут по умолчанию смотрит на провайдера
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1


Конфигурация Router A
interface Ethernet2/0
ip address 10.2.1.1 255.255.255.0

interface Ethernet2/1
ip address 10.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3


Конфигурация Router B
interface FastEthernet0/0
 ip address 10.1.1.3 255.255.255.0

interface Ethernet1/0
ip address 10.3.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 10.1.1.1




Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
<
  • 0 комментариев
  • 0 публикаций
  • ICQ:
25 февраля 2016 11:00

Александр

Цитата
  • Группа: Гости
  • Регистрация: --
  • Статус:
 
Скажите, если при такой схеме отвалится 10.1.1.1, будут ли ходить пакеты между компами в сети 10.1.1. и компами в сети 10.2.1


Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Как мяч, кругла, Как кровь, красна
Ответ:*
Введите два слова, показанных на изображении: *