Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 18:30



Ответить на тему  [ Сообщений: 9 ] 
ASA 5520 + С3750V2-E, последний не видит интернет. 
Автор Сообщение

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Добрый вечер ! У меня тупик, нужна помощь/совет/напутствие понимащих/знающих..

Имеется в наличии ASA 5520, C3750V2-E. В офис приходит два провайдера ISP1, ISP2, необходимо принять на ASA этих провайдеров, и организовать доступ через этих провайдеров одновременно, чтобы была возможность пускать как определенные IP адреса из каких либо локальный подсетей, так и целые подсети.

Реализовать все это решил так: на ASA принимаю ISP1 (1.1.1.1/30) VLAN 88, IPS2 (2.2.2.2/30) VLAN 99, создаю две служебные подсети INSIDE1 (10.10.20.1/30) VLAN 20, INSIDE2 (10.10.21.1/30) VLAN 21, натирую INSIDE1 -> ISP1, INSIDE2 -> ISP2. Маршруты INSIDE1 0.0.0.0 0.0.0.0 1.1.1.1 255.255.255.252 1 | INSIDE2 0.0.0.0 0.0.0.0 2.2.2.2 255.255.255.252. Далее транком пускаю VLAN 20, 21 на С3750. На С3750 принимаю транки VLAN 20,21, Создаю какие нужны подсети и далее уже с помощью PBR заворачиваю трафик либо на VLAN 20 либо на VLAN 21, соотвественно если на 20 то выход в интернет должен быть через ISP1, а 21 через ISP2.

Тут первый вопрос, такой мой план вообще сработает !? Может я изначально иду по неверному пути !?

Настройки ASA (пишу по памяти, конфиг если что смогу выложить завтра)

int gi0/0.88
desc IPS1
ip address 1.1.1.1 255.255.255.252
nameif ISP1
no shu

int gi0/1.99
desc IPS2
ip address 2.2.2.2 255.255.255.252
nameif ISP2
no shu

int gi0/2.20
desc INSIDE1
ip address 10.10.20.1 255.255.255.252
nameif INSIDE1
no shu

int gi0/2.21
desc INSIDE2
ip address 10.10.21.1 255.255.255.252
nameif INSIDE2
no shu

object network OBJ_INSIDE1_NAT
subnet 10.10.20.0 255.255.255.0
nat (INSIDE1,ISP1) dynamic interface
object network OBJ_INSIDE2_NAT
subnet 10.10.21.0 255.255.255.0
nat (INSIDE2,ISP2) dynamic interface

route IPS1 0.0.0.0 0.0.0.0 1.1.1.1 255.255.255.252 1
route ISP2 0.0.0.0 0.0.0.0 2.2.2.2 255.255.255.252 2
### Это для пинга подсетей которые будут на C3750
route INSIDE1 10.10.0.0 255.255.0.0 10.10.20.1 255.255.255.252 1
route INSIDE2 10.10.0.0 255.255.0.0 10.10.21.1 255.255.255.252 1

После этих настроек ASA интернет видит, перехожу к настройке C3750, Да так же разрешил в глобальной политике ICMP.

int fa1/0/48
switchport trunk encapsulation dot1q
switchport trunk allow vlan 20,21
switchport mode trunk

int range fa1/0/1-10
switchport mode access
switchport access vlan 10

vlan 20
vlan 21
vlan 10

int vlan 20
desc ISP1
ip address 10.10.20.2 255.255.255.252
no shu

int vlan 21
desc ISP2
ip address 10.10.21.2 255.255.255.252
no shu

int vlan 10
desc WORKSTATIONS
ip address 10.10.10.1 255.255.255.0
no shu

ip routing

После этих настроек c C3750 я успешно пингую шлюз 10.10.20.1, 10.10.21.1, пингую так же выданные адреса рабочим станций из сегмента 10.10.10.0/24. Пробую пингануть 8.8.8.8 через VLAN 20

ping 8.8.8.8 source vlan 20

Получаю тишину... пинга белых адресов нет.. пробовал добавлять на C3750 маршрут ip route 0.0.0.0 0.0.0.0 10.10.20.2 все бестолку пинга интернета с L3 нет... а казалось бы должен быть, раз внутри я все пингую, шлюз VLAN 20 (10.10.20.1), который натируется тоже пингуется, но через данную подсеть получается пинга на L3 нет.. сломал все голову, идей нет.. нужна ваша помощь, подскажите что я не так делаю !?

П.С. я очень начинающий в CISCO, на микротике я бы быстро все разрулил через маркировки пакетов, а тут у меня затык, хочу разобраться, хочу понять почему не пашет !

Надеюсь на ваши советы !


24 май 2018, 22:18
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Вы либо делайте классический router on a stick (сабы на асе, транк на каталист а там L2), либо маршрутизацию выносите на каталист (L3) и дефолт на асу.
А у вас смесь ужа с ежом какая-то.


25 май 2018, 09:53
Профиль ICQ

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
_2e_ писал(а):
Вы либо делайте классический router on a stick (сабы на асе, транк на каталист а там L2), либо маршрутизацию выносите на каталист (L3) и дефолт на асу.
А у вас смесь ужа с ежом какая-то.


Теоретически подскажите как правильно нужно организовать ? Не совсем понятно мне

Классический не подойдет, потому как на ASA 5520 нет PBR, поэтому и хочется использовать PBR который есть на 3750


25 май 2018, 09:56
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
it911sm писал(а):
_2e_ писал(а):
Вы либо делайте классический router on a stick (сабы на асе, транк на каталист а там L2), либо маршрутизацию выносите на каталист (L3) и дефолт на асу.
А у вас смесь ужа с ежом какая-то.


Теоретически подскажите как правильно нужно организовать ? Не совсем понятно мне

Классический не подойдет, потому как на ASA 5520 нет PBR, поэтому и хочется использовать PBR который есть на 3750


Пока ничего не настроили - выбросьте нахер древнюю 5520 - она убога чуть более чем полностью - вы будете ежедневно ходить по
граблям этого говнищя, поставьте обычный ISR.

PBR на каталисте - это тоже нехорошо. Попробуйте сделать контексты на асе, каждого прова в свой
контекст (ибо то что вы нарисовали с дефолтными роутами неработоспособно), а на каталисте - маршрутизацию, но это дичь.


25 май 2018, 10:04
Профиль ICQ

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
_2e_ писал(а):
it911sm писал(а):
_2e_ писал(а):
Вы либо делайте классический router on a stick (сабы на асе, транк на каталист а там L2), либо маршрутизацию выносите на каталист (L3) и дефолт на асу.
А у вас смесь ужа с ежом какая-то.


Теоретически подскажите как правильно нужно организовать ? Не совсем понятно мне

Классический не подойдет, потому как на ASA 5520 нет PBR, поэтому и хочется использовать PBR который есть на 3750


Пока ничего не настроили - выбросьте нахер древнюю 5520 - она убога чуть более чем полностью - вы будете ежедневно ходить по
граблям этого говнищя, поставьте обычный ISR.

PBR на каталисте - это тоже нехорошо. Попробуйте сделать контексты на асе, каждого прова в свой
контекст (ибо то что вы нарисовали с дефолтными роутами неработоспособно), а на каталисте - маршрутизацию, но это дичь.


Про контексты спасибо, сейчас посмотрю как там и что, попробую. К сожалению 5520 это пока что единственный вариант использования.

А чем плохи PBR ?


25 май 2018, 10:13
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Наткнулся на видео https://www.youtube.com/watch?v=WdhKe2lynJQ Setting up a New Network with Cisco 3850 and ASA 5510

Попробовал применить к своему 3750 и 5520.. все равно нет результата..


Такой еще вопрос, раз у меня 10.10.20.1 и 10.10.21.1 это шлюзы ASA, то почему через них 3750 все равно не видит интернет то ? Или он таким образом и не удится его !?


Как же все сложно с этими Cisco.. на Mikrotik за 4к использование двух провайдеров в два счета можно настроить, без каких либо усилий.. но выбора нет, нужно использовать то что есть..


25 май 2018, 12:40
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
it911sm писал(а):
Наткнулся на видео https://www.youtube.com/watch?v=WdhKe2lynJQ Setting up a New Network with Cisco 3850 and ASA 5510

Попробовал применить к своему 3750 и 5520.. все равно нет результата..


Такой еще вопрос, раз у меня 10.10.20.1 и 10.10.21.1 это шлюзы ASA, то почему через них 3750 все равно не видит интернет то ? Или он таким образом и не удится его !?


Как же все сложно с этими Cisco.. на Mikrotik за 4к использование двух провайдеров в два счета можно настроить, без каких либо усилий.. но выбора нет, нужно использовать то что есть..


Ну так настройте некротик, делов-то - делайте то что умеете. А ебаста с асой это для некрофилов и поганых извращенцев.


25 май 2018, 13:02
Профиль ICQ

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
it911sm писал(а):
route INSIDE1 10.10.0.0 255.255.0.0 10.10.20.1 255.255.255.252 1
route INSIDE2 10.10.0.0 255.255.0.0 10.10.21.1 255.255.255.252 1
это вообще что такое?
Для чего этот бред и что за маска 255.255.255.252 в маршрутизации? И через какой в итоге шлюз должен пойти пакет? А главное зачем ASA маршрутизировать через саму себя?
it911sm писал(а):
П.С. я очень начинающий в CISCO
не хочу обидеть, но по-моему в маршрутизации тоже.


25 май 2018, 18:39
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
crash писал(а):
it911sm писал(а):
route INSIDE1 10.10.0.0 255.255.0.0 10.10.20.1 255.255.255.252 1
route INSIDE2 10.10.0.0 255.255.0.0 10.10.21.1 255.255.255.252 1
это вообще что такое?
Для чего этот бред и что за маска 255.255.255.252 в маршрутизации? И через какой в итоге шлюз должен пойти пакет? А главное зачем ASA маршрутизировать через саму себя?
it911sm писал(а):
П.С. я очень начинающий в CISCO
не хочу обидеть, но по-моему в маршрутизации тоже.


да, там строка выглядит вот так:
route INSIDE1 10.10.0.0 255.255.0.0 10.10.20.2
route INSIDE2 10.10.0.0 255.255.0.0 10.10.21.2

Писал поздно вечером, немного синтаксис попутал, на ASA само собой как выше написал, иначе бы не дало просто добавить такой маршрут.

Кстати трафик пошел как мне нужно, т.е. все пошло, все конфиги с ASA и 3750 снес к бубуням, поновой внимательно все сделал и все ок пошло, т.е. с L3 я получаю интернет из NAT сетей 10.10.20.0/30, что мне собственно и нужно было, затем PBR буду заворачивать трафик на VLAN 20..


25 май 2018, 19:53
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 79


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB