https://www.opennet.me/openforum/vsluhforumID6/23066.html всем заранее пасиб, проблема следующая есть каталист 4500, смотрит наружу через асашку, ну и внутрь соответственно на сеть компании. Сейчас привезли вторую асашку, поставил ее, но не хочет внутренняя сеть ее пинговать, хотя настроил так же как и первую, почти. вот конфа каталиста на вторую асашку:<br><br>interface GigabitEthernet3/20<br> description -=asa2=-<br> switchport access vlan 130<br> switchport mode access<br> spanning-tree portfast<br><br>interface Vlan130<br> description -=asa2=-<br> ip address 172.16.220.24 255.255.255.0<br><br>ip route 0.0.0.0 0.0.0.0 172.16.220.22<br><br>вот конфа самой второй асашки:<br><br>interface Ethernet0/1<br> description local<br> nameif inside<br> security-level 100<br> ip address 172.16.220.22 255.255.255.0<br><br>access-list acl_out_inside extended permit ip 172.16.230.0 255.255.255.0 any<br>access-list acl_out_inside extended permit icmp 172.16.230.0 255.255.255.0 any<br>access-list acl_out_inside extended permit udp 172.16.230.0 255.255.255.0 any<br><br>access-group acl_out_inside in interface inside<br><br>route outside https://www.opennet.me/openforum/vsluhforumID6/23066.html#7 Wed, 07 Sep 2011 07:41:37 GMT &gt; пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников <br>&gt; на одну асу, а клиентов оставить на старой. Сейчас добился того, <br>&gt; что вторая аса пускает на себя мой отдельный комп, через каталист, <br>&gt; но в нет он выхзодит все равно через первую, потому что <br>&gt; маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то <br>&gt; есть вся на первую асу, а на вторую стоит только сеть <br>&gt; моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при <br>&gt; этом нельзя отключать первую асу, так как работаем со многими людьми <br>&gt; и нельзя менять маршрут на нне, че бы вот придумать))) <br><br>Почему не сделать так?<br>http://i5.pixs.ru/storage/0/8/9/primerjpg_9389757_2926089.jpg<br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#6 Wed, 07 Sep 2011 06:31:50 GMT пасиб, поидее отказоустойчивость мне не нужна, надо просто перекинуть всех сотрудников на одну асу, а клиентов оставить на старой. Сейчас добился того, что вторая аса пускает на себя мой отдельный комп, через каталист, но в нет он выхзодит все равно через первую, потому что маршрутизация на на каталисте стоит ip route 0.0.0.0 0.0.0.0 172.16.230.22 то есть вся на первую асу, а на вторую стоит только сеть моего компа, ip route 172.16.123.23 255.255.0.0 172.16.200.22, но не помогает, при этом нельзя отключать первую асу, так как работаем со многими людьми и нельзя менять маршрут на нне, че бы вот придумать)))<br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#5 Wed, 07 Sep 2011 01:12:14 GMT &gt; эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их <br>&gt; вроде нет <br><br>Тебе нужна отказоуcтойчивость ? Просто две ASA - весьма неэффективно, так как<br>в этом случае вторая железка не будет знать таблицу активных соедеинений первой и<br>при переходе (маршрутизаций, SLA, руками) - у тебя все соединения порвутся. В кластерном<br>варинте - у тебя пользователи даже не заметят переключения между ними при отказе или<br>плановом ремонте, один конфиг на две железки, всегда в актуальном состоянии, таблица<br>активных соединений постоянно реплецируется через выделенное соедиение между asa-ми.<br><br>Про балансировщики - когда каналы, которые защищать становяться слишком толстыми и производительности FWSM, ASA не хватает, их ставят в работу вместе с балансировщиками (SLB, ACE), которые направляют соедиения и возвращают трафик через одну и туже железку. Получаем более мощный файрволл. Но это было актуально для скоростей выше 4Гб/с, а сейчас с выходом новых железок планка слегка подросла :)<br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#4 Tue, 06 Sep 2011 07:26:41 GMT эмм...с цисками недавно работаю, балансировщики что делают?))ну и на второй асашке их вроде нет<br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#3 Tue, 06 Sep 2011 07:06:45 GMT <br>&gt; Потому как фантазии для такого включения кроме без балансировщиков, <br><br>Читать: "с балансировщиками".<br><br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#2 Tue, 06 Sep 2011 07:04:50 GMT &gt; Они у тебя наверное все же должны работать в кластере ?<br>&gt; Потому как фантазии для такого включения кроме без балансировщиков, <br>&gt; что то придумать не могу.<br><br>но если цель только в пинговании - icmp permit any IF_NAME :)<br> https://www.opennet.me/openforum/vsluhforumID6/23066.html#1 Tue, 06 Sep 2011 07:01:57 GMT Они у тебя наверное все же должны работать в кластере ?<br>Потому как фантазии для такого включения кроме без балансировщиков,<br>что то придумать не могу.<br><br>