форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Маршрутицация"

Сообщение от djek (??) on 12-Дек-08, 16:53

сейчас у нас есть центральная asa. к ней по ipsec подключено нескольколько пиксов? назовем их pix1,pix2,pix3....и тд. получается такая сеть типа звезда. у но вот не задача! пользователи за pix1 видят тока свою подсеть и подсеть за асой, а необходимо что бы все знали о всех. то есть пакеты из подсети спрятанной за pix1 могли ходить в подсеть спрятанную за pix2. по всей видимости нужна динамическая маршрутизация - ospf. посоветуйте решение....

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Маршрутицация"

Сообщение от sh_ (??) on 12-Дек-08, 17:25

Можно и со статической маршрутизацией. У вас туннели с одного интерфейса строятся?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 09:35
	>Можно и со статической маршрутизацией. У вас туннели с одного интерфейса строятся? > c двух.... конфиг будет большой.. а динамическую ни как прикрутить? у меня есть мысль, кривоватенькая конечно... за асой поставить роутер 1811 и на нем может поднять ospf. ну а тунели а нат оставить на асе. вот тока не знаю будет ли работать.. не хочется изобретать велосипед, не ужели ни кто стакой проблемой не сталквался!?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Маршрутицация"
	Сообщение от Ярослав Росомахо (ok) on 15-Дек-08, 10:57
	>конфиг будет большой.. а динамическую ни как прикрутить? ASA/PIX поддерживают такую штуку как point-to-point non-broadcast OSPF, который может ходить через IPSec туннели. Т.е. настраиваете OSPF как обычно, но на интерфейсе говорите "ospf network point-to-point non-broadcast". Не забудьте OSPF разрешить в IPSec ACL, добавить сеть внешнего интерфейса в анонсы, и явным образом прописать neighborа. Хороший пример работающего конфига есть тут (в конце статьи) - http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... >за асой поставить роутер 1811 и на нем может поднять ospf. ну >а тунели а нат оставить на асе. Так работать не будет - IPSec построенный на основе PIX/ASA не пропускает multicast - соответственно протоколы маршрутизации через эти туннели не ходят. Для решения этой проблемы и было придумано "point-to-point non-broadcast ospf". P.S. Вообще для site-to-site VPN решение PIX/ASA не очень хорошее - на будущее такие вещи лучше строить на маршрутизаторах с криптомодулями.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 12:00
	за ссылку спасибо! щас буду изучать.. а зачем тогда вообще нужны пиксы? с этим вопросом я сталкиваюсь все чаще и чаще. в чем их особенность? ведь действительно что роутере лучьше работают с тунелями, есть правила фильтраци не хуже чем у пикса (по маку) и тд. Защита от атак? что то уже хочется подробностей....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 12:14
	посмотрел статью.... получается что если у нас есть пиксы 501 с прошивкой 6.3 (если не ошибусь на память) то вся информация по ссылке неподходит.. :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Маршрутицация"
	Сообщение от Ярослав Росомахо (ok) on 15-Дек-08, 13:04
	>посмотрел статью.... >получается что если у нас есть пиксы 501 с прошивкой 6.3 (если >не ошибусь на память) то вся информация по ссылке неподходит.. :( > PIX 501 вообще не поддерживает OSPF ни с какими прошивками. С ними у вас два варианта - или меняйте их на что-нибудь более современное или настраивайте статическую маршрутизацию. Если в центре вы хотите оставить ASA, то меняйте PIX501 на ASA5505, если хотите перейти на решение с маршрутизаторами - тогда меняйте всю инфраструктуру на маршрутизаторы. Маршрутизаторы не поддерживают point-to-point non-broadcast ospf, соответственно в IPSec VPN построенной частично на PIX/ASA, частично на IOS, динамическая маршрутизация невозможна.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Маршрутицация"
	Сообщение от Ярослав Росомахо (ok) on 15-Дек-08, 12:29
	>за ссылку спасибо! щас буду изучать.. > >а зачем тогда вообще нужны пиксы? >с этим вопросом я сталкиваюсь все чаще и чаще. в чем их >особенность? ведь действительно что роутере лучьше работают с тунелями, есть правила >фильтраци не хуже чем у пикса (по маку) и тд. Защита >от атак? что то уже хочется подробностей.... Преимущество PIX/ASA перед Cisco IOS в производительности межсетевого экранирования и NATа. Так же у них хорошо развит функционал по организации remote-access VPN (доступ для удаленных пользователей), но в последних T-версиях маршрутизаторы Cisco IOS догнали в этом Cisco ASA. Еще у ASA есть Unified Phone Proxy, которого на маршрутизаторах нет и пока что не планируется.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 13:28
	у меня были проблемы связанные с прописывание статической маршрутизации на пиксам. не могли бы привести пример как это надо сделать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Маршрутицация"
	Сообщение от Ярослав Росомахо (ok) on 15-Дек-08, 13:29
	>у меня были проблемы связанные с прописывание статической маршрутизации на пиксам. не >могли бы привести пример как это надо сделать? С такими вопросами могу посоветовать только одно - внимательнее читать документацию.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 13:36
	с этим согласен! :) но всеже route outside 192.168.2.0 255.255.255.0 x.x.x.x 1 вопрос какой адресс указать? внешний адрес асы, если мы с филиала?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Маршрутицация"
	Сообщение от weris (ok) on 15-Дек-08, 13:39
	>с этим согласен! :) но всеже >route outside 192.168.2.0 255.255.255.0 x.x.x.x 1 >вопрос какой адресс указать? внешний адрес асы, если мы с филиала? адрес шлюз- ваш провайдер.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 13:41
	шлюз провайдера даже недогадывается о существовании сети 192.168.2.0/24 за асой !!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Маршрутицация"
	Сообщение от weris (ok) on 15-Дек-08, 13:48
	>шлюз провайдера даже недогадывается о существовании сети 192.168.2.0/24 за асой !!!! про адресацию выданную провайдером речи не было :) то что вы с филиала ни о чем не говорит. пров мог и серый адрес вам дать вполне ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Маршрутицация"
	Сообщение от djek (??) on 15-Дек-08, 14:02
	суть вопроса втом что есть две посети 192.168.2.0/24 за асой в центре "звезды" и филиал 192.168.1.0/24. между ними ipsec. также есть филиалы с 192.168.3.0/24 ospf для тунелей не подымается.... нужно писать статикой. вопрос как?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]