forum.opennet.ru - "ASA 5510 проблема с правилами, не могу понять что не так делаю" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ASA 5510 проблема с правилами, не могу понять что не так делаю"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
Сообщение от karlos2004 (ok) on 05-Фев-12, 21:04
Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый опыт. Есть : 2 внутренних сети и выход в нет. Из одной внутренний подсети хожу в инет, с консоли пингую все 3 подсоединенные сети, но inside -- inside2 сети друг друга не видят. Натолкните на мысль, что у меня не так Интерфейсы: Outside: 94.72.3.242 255.255.255.248 Inside: 10.100.1.254 255.255.0.0 Inside2: 192.168.8.253 255.255.255.0 конфа: hostname gsk ! domain name firstgsk.ru ! interface eth0/0 nameif outside security-level 0 ip address 94.72.3.242 255.255.255.248 no shut ! int eth0/1 nameif inside security-level 100 ip address 10.100.1.254 255.255.0.0 no shut ! ! int eth0/2 nameif inside2 security-level 100 ip address 192.168.8.253 255.255.255.0 no shut ! same-security-traffic permit inter-interface route outside 0.0.0.0 0.0.0.0 94.72.3.241 1 nat (inside) 1 10.100.0.0 255.255.0.0 nat (inside2) 1 192.168.8.0 255.255.255.0 global (outside) 1 interface static (inside,inside2) 10.100.0.0 10.100.0.0 netmask 255.255.255.0 static (inside2,inside) 192.168.8.0 192.168.8.0 netmask 255.255.255.0 static (inside,outside) tcp interface smtp 10.100.1.3 smtp netmask 255.255.255.255 static (inside,outside) tcp interface https 10.100.1.3 https netmask 255.255.255.255 access-list 101 extended permit icmp any any echo-reply access-list 101 extended permit icmp any any source-quench access-list 101 extended permit icmp any any time-exceeded access-list 101 extended permit icmp any any unreachable access-list 101 extended permit tcp any interface outside eq https access-list 101 extended permit tcp any interface outside eq smtp access-list 102 extended permit icmp any any echo-reply access-list 102 extended permit icmp any any source-quench access-list 102 extended permit icmp any any unreachable access-list 102 extended permit icmp any any time-exceeded access-list 103 extended permit icmp any any echo-reply access-list 103 extended permit icmp any any source-quench access-list 103 extended permit icmp any any unreachable access-list 103 extended permit icmp any any time-exceeded access-group 101 in interface outside route inside2 192.168.1.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.2.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.3.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.4.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.5.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.17.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.20.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.33.0 255.255.255.0 192.168.8.250 1 route inside2 192.168.102.0 255.255.255.0 192.168.8.250 1
Ответить \| Правка \| Cообщить модератору

Оглавление

ASA 5510 проблема с правилами, не могу понять что не так делаю, Dima, 22:20 , 05-Фев-12, (1)

ASA 5510 проблема с правилами, не могу понять что не так делаю, karlos2004, 22:41 , 05-Фев-12, (4)

ASA 5510 проблема с правилами, не могу понять что не так делаю, Seva, 22:36 , 05-Фев-12, (2)

ASA 5510 проблема с правилами, не могу понять что не так делаю, karlos2004, 22:40 , 05-Фев-12, (3)

ASA 5510 проблема с правилами, не могу понять что не так делаю, rakis, 07:46 , 06-Фев-12, (5)

ASA 5510 проблема с правилами, не могу понять что не так делаю, karlos2004, 08:43 , 06-Фев-12, (6)

ASA 5510 проблема с правилами, не могу понять что не так делаю, karlos2004, 13:34 , 06-Фев-12, (7)

ASA 5510 проблема с правилами, не могу понять что не так делаю, Serg, 10:56 , 03-Окт-13, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от Dima (??) on 05-Фев-12, 22:20

> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
> опыт.
> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
> но inside -- inside2 сети друг друга не видят. Натолкните на
> мысль, что у меня не так
Возможно ограничение лицензии.
при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и Office VLAN между собой не отрабатывают.
проверяйте sh ver

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от karlos2004 (ok) on 05-Фев-12, 22:41

>> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый
>> опыт.
>> Есть : 2 внутренних сети и выход в нет. Из одной внутренний
>> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети,
>> но inside -- inside2 сети друг друга не видят. Натолкните на
>> мысль, что у меня не так
> Возможно ограничение лицензии.
> при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и
> Office VLAN между собой не отрабатывают.
> проверяйте sh ver
нет Vlan, Это 5510 а не 5505 (я уже прочитался про различия)
И

Cisco ASA 5510 Security Appliance - межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA по сравнению с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от Seva (??) on 05-Фев-12, 22:36

по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl нужен, или почитать как это делается.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от karlos2004 (ok) on 05-Фев-12, 22:40

> по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl
> нужен, или почитать как это делается.
А это на что ?
same-security-traffic permit inter-interface

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от rakis (ok) on 06-Фев-12, 07:46

access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
nat (inside) 0 access-list nonat
nat (inside2) 0 access-list nonat

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от karlos2004 (ok) on 06-Фев-12, 08:43

> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
> nat (inside) 0 access-list nonat
> nat (inside2) 0 access-list nonat
2 раза permit-то зачем ?
Но идея помогла ! СПАСИБО !!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от karlos2004 (ok) on 06-Фев-12, 13:34

>> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0
>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>> nat (inside) 0 access-list nonat
>> nat (inside2) 0 access-list nonat
> 2 раза permit-то зачем ?
> Но идея помогла ! СПАСИБО !!
Еще момент - при команде copy running-config startup-config такая вот фигня ... как с эти жить ?
Result of the command: "copy running-config startup-config"
Source filename [running-config]?
?Bad filename

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ASA 5510 проблема с правилами, не могу понять что не так делаю" +/–

Сообщение от Serg (??) on 03-Окт-13, 10:56

>[оверквотинг удален]
>>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0
>>> nat (inside) 0 access-list nonat
>>> nat (inside2) 0 access-list nonat
>> 2 раза permit-то зачем ?
>> Но идея помогла ! СПАСИБО !!
> Еще момент - при команде copy running-config startup-config такая вот фигня ...
> как с эти жить ?
> Result of the command: "copy running-config startup-config"
> Source filename [running-config]?
> ?Bad filename
wr mem

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
Сообщение от Dima (??) on 05-Фев-12, 22:20
> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый > опыт. > Есть : 2 внутренних сети и выход в нет. Из одной внутренний > подсети хожу в инет, с консоли пингую все 3 подсоединенные сети, > но inside -- inside2 сети друг друга не видят. Натолкните на > мысль, что у меня не так Возможно ограничение лицензии. при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и Office VLAN между собой не отрабатывают. проверяйте sh ver
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
	Сообщение от karlos2004 (ok) on 05-Фев-12, 22:41
	>> Добрый всем вечер ! Cisco ASA никогда в жизни не видел, первый >> опыт. >> Есть : 2 внутренних сети и выход в нет. Из одной внутренний >> подсети хожу в инет, с консоли пингую все 3 подсоединенные сети, >> но inside -- inside2 сети друг друга не видят. Натолкните на >> мысль, что у меня не так > Возможно ограничение лицензии. > при стандратной лицензии полноценно работают два ВЛАНа, третий, как написано DMZ и > Office VLAN между собой не отрабатывают. > проверяйте sh ver нет Vlan, Это 5510 а не 5505 (я уже прочитался про различия) И Cisco ASA 5510 Security Appliance - межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA по сравнению с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
Сообщение от Seva (??) on 05-Фев-12, 22:36
по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl нужен, или почитать как это делается.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
	Сообщение от karlos2004 (ok) on 05-Фев-12, 22:40
	> по умолчанию, интерфейсы с одинаковым секьюрити лэвэл не видят друг друга, acl > нужен, или почитать как это делается. А это на что ? same-security-traffic permit inter-interface
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

5. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
Сообщение от rakis (ok) on 06-Фев-12, 07:46
access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0 access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0 nat (inside) 0 access-list nonat nat (inside2) 0 access-list nonat
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
	Сообщение от karlos2004 (ok) on 06-Фев-12, 08:43
	> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0 > access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0 > nat (inside) 0 access-list nonat > nat (inside2) 0 access-list nonat 2 раза permit-то зачем ? Но идея помогла ! СПАСИБО !!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
	Сообщение от karlos2004 (ok) on 06-Фев-12, 13:34
	>> access-list nonat permit extended permit ip 10.100.0.0 255.255.0.0 192.168.8.0 255.255.255.0 >> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0 >> nat (inside) 0 access-list nonat >> nat (inside2) 0 access-list nonat > 2 раза permit-то зачем ? > Но идея помогла ! СПАСИБО !! Еще момент - при команде copy running-config startup-config такая вот фигня ... как с эти жить ? Result of the command: "copy running-config startup-config" Source filename [running-config]? ?Bad filename
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ASA 5510 проблема с правилами, не могу понять что не так делаю"	+/–
	Сообщение от Serg (??) on 03-Окт-13, 10:56
	>[оверквотинг удален] >>> access-list nonat2 permit extended permit ip 192.168.8.0 255.255.255.0 10.100.0.0 255.255.0.0 >>> nat (inside) 0 access-list nonat >>> nat (inside2) 0 access-list nonat >> 2 раза permit-то зачем ? >> Но идея помогла ! СПАСИБО !! > Еще момент - при команде copy running-config startup-config такая вот фигня ... > как с эти жить ? > Result of the command: "copy running-config startup-config" > Source filename [running-config]? > ?Bad filename wr mem
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору