Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 17:59



Ответить на тему  [ Сообщений: 8 ] 
NAT на ASA между vrf 
Автор Сообщение

Зарегистрирован: 22 окт 2019, 01:15
Сообщения: 5
Добрый день! Возник вопрос с доступом между vrf. Имеется корпоративная сеть, поделенная на сегменты управления и корп. Сегменты не должны пересекаться. Вышло так, что у меня оборудование оказалось в vrf corp, а удаленный сервер в vrf mgmt. Оборудование находится на удаленной площадке и подключено к СПД заказчика в vrf corp, к которому у меня нет доступа. Между сетью заказчика и нами настроен стык по vrf-ам на ASA. Можно ли поднять подсеть на ASA из vrf MGMT и занатить на нее только 1 адрес оборудования из подсети vrf corp, чтобы сервер обращался к нему по MGMT? :?:


01 ноя 2019, 12:31
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
схемку есть возможность начертить?
стык по врф на аса - имеется ввиду, что для двух сетей указаны дефолт роутами интерфейсы асы, на которых уже настроены права доступа?


12 ноя 2019, 15:00
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
VRF на ASA - я надеюсь, не про security contexts речь.
Что же до описанной задачи, то, имхо, тут проще утечку маршрутов между VRF'ами сделать и не привлекать ASA сюда.


13 ноя 2019, 23:10
Профиль WWW

Зарегистрирован: 22 окт 2019, 01:15
Сообщения: 5
Доброе утро! вот схема, vrf leaking запрещен. Есть несколько сегментов сети, разделенных по характеру трафика. На АСАх производится фильтрация маршрутов, к ним подключены мы и оборудование заказчика, сети не подключены напрямую к интерфейсам АСА, через маршрутизаторы.


Вложения:
схема.jpg
схема.jpg [ 138.66 КБ | Просмотров: 5563 ]
18 ноя 2019, 09:41
Профиль

Зарегистрирован: 22 окт 2019, 01:15
Сообщения: 5
Нет ли у кого работающего образа asav под свежий релиз gns3? А то старые версии не уже не поддерживаются в нем (((


Последний раз редактировалось Saian 18 ноя 2019, 14:12, всего редактировалось 1 раз.



18 ноя 2019, 14:02
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Saian писал(а):
Нет ли ни у кого, работающего образа asav под свежий релиз gns3, а то старые версии не уже не поддерживаются в нем (((


eve-ng в руки. недавно такое там запускал:

Код:
ASAv-10# sh ver
Cisco Adaptive Security Appliance Software Version 9.9(2)
Firepower Extensible Operating System Version 2.3(1.84)
Device Manager Version 7.9(2)


18 ноя 2019, 14:10
Профиль ICQ

Зарегистрирован: 22 окт 2019, 01:15
Сообщения: 5
Спасибо

_2e_ писал(а):
Saian писал(а):
Нет ли ни у кого, работающего образа asav под свежий релиз gns3, а то старые версии не уже не поддерживаются в нем (((


eve-ng в руки. недавно такое там запускал:

Код:
ASAv-10# sh ver
Cisco Adaptive Security Appliance Software Version 9.9(2)
Firepower Extensible Operating System Version 2.3(1.84)
Device Manager Version 7.9(2)


18 ноя 2019, 14:17
Профиль

Зарегистрирован: 22 окт 2019, 01:15
Сообщения: 5
вопрос по АСА 8,2 сеть 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.10.0/24 (не доступен), хотя сеть с такими же настройками 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.20.0/24 (доступен). Packet tracer тестовый трафик прогоняет по ACL, NAT и Ipsec успешно. ACLы, собирающие интересный трафик для NAT и IPSEC, идентичны. По sh xlate и conn соединений к 10.10.10.0/24 нет. Вопрос при настройке NAT, если в одной сессии к серверу1 IP хоста транслируется NAT, то для другой одновременной сессии будет проходить трансляция с использованием PAT? С АСЫ все хосты вижу, с хостов до 10.10.10.0/24 трассировка только шлюза. На том конце vpn работаю не я и там прописан доступ к серверам только от 172.16.0.0/24. Помогите настроить NAT нормально!!!

sh conn
ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.10.25:0, idle 0:00:00, bytes 123808
ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.20.39:0, idle 0:00:00, bytes 32
TCP CORP 172.16.0.246(192.168.0.62):52063 TO-SAP-INT 10.10.20.24:3200, idle 0:09:53, bytes 846347, flags UIOB
TCP CORP 172.16.0.226(192.168.0.27):50606 TO-SAP-INT 10.10.20.24:3200, idle 0:04:38, bytes 74197418, flags UIOB

sh xlate
Global 172.16.0.80 Local 192.168.0.80
Global 172.16.0.246 Local 192.168.0.62
Global 172.16.0.226 Local 192.168.0.27

nat:
global (TO-SAP-INT) 1 172.16.0.1-172.16.0.253 netmask 255.255.255.0
global (TO-SAP-INT) 2 172.16.0.254
nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL

sh access-list NAT-TO-SAP-TUNNEL
access-list NAT-TO-SAP-TUNNEL line 1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list NAT-TO-SAP-TUNNEL line 2 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0

access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0
crypto map TO-SAP 20 match address SAP-PEER-1

packet-tracer input CORP tcp 192.168.0.80 7777 10.10.10.0 443

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 10.10.10.0 255.255.255.0 TO-SAP-INT

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect waas
service-policy global_policy global
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL
match ip CORP 192.168.0.0 255.255.255.0 TO-SAP-INT 10.10.10.0 255.255.255.0
dynamic translation to pool 1 (172.16.0.1 - 172.16.0.253)
translate_hits = 1665, untranslate_hits = 22
Additional Information:
Dynamic translate 192.168.0.0/0 to 172.16.0.80/0 using netmask 255.255.255.255

Phase: 8
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 32293898, packet dispatched to next module

Result:
input-interface: CORP
input-status: up
input-line-status: up
output-interface: TO-SAP-INT
output-status: up
output-line-status: up
Action: allow


27 фев 2020, 14:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB