forum.opennet.ru - "ASA + ProCurve" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ASA + ProCurve"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ASA + ProCurve"	+/–
Сообщение от MVictorL (ok) on 22-Ноя-11, 18:29
Помогите, пожалуйста, сделать два сервера (две разные подсети) на одном интерфейсе DMZ ASA. Я сделал на коммутаторе ProCurve 2610 два дополнительных (к дефолтовому DEFAULT_VLAN) VLAN'а: 2_VLAN (ID 2) и 3_VLAN (ID 3). Далее: - исключил порты 1, 2, 3 из DEFAULT_VLAN; - добавил порт 1 в 2_VLAN, как Tagged, а порт 2, как Untagged; - добавил порт 1 в 3_VLAN, как Tagged, а порт 3, как Untagged; - к порту 2 подключил сервер_1 (192.168.1.10); - к порту 3 подключил сервер_2 (192.168.2.10); - к порту 1 подключил DMZ-интерфейс ASA и назначил на ней VLAN'ы: -- Cut -- interface GigabitEthernet0/1.2 vlan 2 nameif 2_VLAN security-level 10 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.3 vlan 3 nameif 3_VLAN security-level 10 ip address 192.168.2.1 255.255.255.0 ! -- Cut -- Правильно ли я рассуждаю и поступаю? Почему я не могу пингануть ни с ASDM подключенные сервера, ни с серверов DMZ-интерфейс?
Ответить \| Правка \| Cообщить модератору

Оглавление

ASA + ProCurve, Aleks305, 22:15 , 22-Ноя-11, (1)

ASA + ProCurve, MVictorL, 10:11 , 23-Ноя-11, (2)

ASA + ProCurve, Aleks305, 13:47 , 23-Ноя-11, (3)

ASA + ProCurve, Николай_kv, 14:28 , 23-Ноя-11, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "ASA + ProCurve" +/–

Сообщение от Aleks305 (ok) on 22-Ноя-11, 22:15

>[оверквотинг удален]
> interface GigabitEthernet0/1.3
>  vlan 3
>  nameif 3_VLAN
>  security-level 10
>  ip address 192.168.2.1 255.255.255.0
> !
> -- Cut --
> Правильно ли я рассуждаю и поступаю?
> Почему я не могу пингануть ни с ASDM подключенные сервера, ни с
> серверов DMZ-интерфейс?
вроде все ок,только не забудьте, что у Вас security-level одинаков

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA + ProCurve" +/–

Сообщение от MVictorL (ok) on 23-Ноя-11, 10:11

> вроде все ок,только не забудьте, что у Вас security-level одинаков
Да, заработало! Спасибо!
По поводу security-level -- я как бы осмысленно это сделал: сервера (по назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться не должны.
Правильно я рассуждал?
И если вы уже отозвались, не поможете мне разобраться, как дать доступ к этим DMZ-серверам из внутренней сети (inside)?  :-)
В мануале, который шел с ASA, описывался метод, но я к своему стыду не смог разобраться...
Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по их публичным (Интернет) адресам, которые прописаны во внешних DNS...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA + ProCurve" +/–

Сообщение от Aleks305 (ok) on 23-Ноя-11, 13:47

>[оверквотинг удален]
> По поводу security-level -- я как бы осмысленно это сделал: сервера (по
> назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться
> не должны.
> Правильно я рассуждал?
> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
> к этим DMZ-серверам из внутренней сети (inside)?  :-)
> В мануале, который шел с ASA, описывался метод, но я к своему
> стыду не смог разобраться...
> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
> их публичным (Интернет) адресам, которые прописаны во внешних DNS...
прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, на ip внутренний. Только если inside и DMZ с одинаковым sec-level надо будет разрешать ходить трафик между ними дополнительной командой, либо на inside поднимать seclevel

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ASA + ProCurve" +/–

Сообщение от Николай_kv on 23-Ноя-11, 14:28

>[оверквотинг удален]
>> И если вы уже отозвались, не поможете мне разобраться, как дать доступ
>> к этим DMZ-серверам из внутренней сети (inside)?  :-)
>> В мануале, который шел с ASA, описывался метод, но я к своему
>> стыду не смог разобраться...
>> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по
>> их публичным (Интернет) адресам, которые прописаны во внешних DNS...
> прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip,
> на ip внутренний. Только если inside и DMZ с одинаковым sec-level
> надо будет разрешать ходить трафик между ними дополнительной командой, либо на
> inside поднимать seclevel
Хождение трафика между интерфейсам с различным sec-level открывается ацес листами на данных интерфейсах

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASA + ProCurve"	+/–
Сообщение от Aleks305 (ok) on 22-Ноя-11, 22:15
>[оверквотинг удален] > interface GigabitEthernet0/1.3 > vlan 3 > nameif 3_VLAN > security-level 10 > ip address 192.168.2.1 255.255.255.0 > ! > -- Cut -- > Правильно ли я рассуждаю и поступаю? > Почему я не могу пингануть ни с ASDM подключенные сервера, ни с > серверов DMZ-интерфейс? вроде все ок,только не забудьте, что у Вас security-level одинаков
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ASA + ProCurve"	+/–
	Сообщение от MVictorL (ok) on 23-Ноя-11, 10:11
	> вроде все ок,только не забудьте, что у Вас security-level одинаков Да, заработало! Спасибо! По поводу security-level -- я как бы осмысленно это сделал: сервера (по назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться не должны. Правильно я рассуждал? И если вы уже отозвались, не поможете мне разобраться, как дать доступ к этим DMZ-серверам из внутренней сети (inside)? :-) В мануале, который шел с ASA, описывался метод, но я к своему стыду не смог разобраться... Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по их публичным (Интернет) адресам, которые прописаны во внешних DNS...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ASA + ProCurve"	+/–
	Сообщение от Aleks305 (ok) on 23-Ноя-11, 13:47
	>[оверквотинг удален] > По поводу security-level -- я как бы осмысленно это сделал: сервера (по > назначению) схожие -- ресурсы для Интернета, а между собой трафиком обмениваться > не должны. > Правильно я рассуждал? > И если вы уже отозвались, не поможете мне разобраться, как дать доступ > к этим DMZ-серверам из внутренней сети (inside)? :-) > В мануале, который шел с ASA, описывался метод, но я к своему > стыду не смог разобраться... > Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по > их публичным (Интернет) адресам, которые прописаны во внешних DNS... прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, на ip внутренний. Только если inside и DMZ с одинаковым sec-level надо будет разрешать ходить трафик между ними дополнительной командой, либо на inside поднимать seclevel
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ASA + ProCurve"	+/–
	Сообщение от Николай_kv on 23-Ноя-11, 14:28
	>[оверквотинг удален] >> И если вы уже отозвались, не поможете мне разобраться, как дать доступ >> к этим DMZ-серверам из внутренней сети (inside)? :-) >> В мануале, который шел с ASA, описывался метод, но я к своему >> стыду не смог разобраться... >> Я хотел бы, чтобы локальные пользователи попадали на сервера в DMZ по >> их публичным (Интернет) адресам, которые прописаны во внешних DNS... > прочитайте про dns-doctoring, данная фича в ответах dns-внешних будет менять внешний ip, > на ip внутренний. Только если inside и DMZ с одинаковым sec-level > надо будет разрешать ходить трафик между ними дополнительной командой, либо на > inside поднимать seclevel Хождение трафика между интерфейсам с различным sec-level открывается ацес листами на данных интерфейсах
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору