The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"вопрос по Cisco ASA (8.4.2) NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 22-Авг-11, 17:47 
Коллеги, подскажите по nat-проблеме...

Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в этой сети. Одно из устройств - ASA. Все прекрасно, все работает.

Но вот возникла задача, из этой сети, которая /27 переместить хост за ASA NAT, с сохранением адреса.

Если я правильно понимаю, то делаю правило для ната, в котором src outside будет старый адрес устройства, когда оно еще не было за натом.

Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже отвечать адресом, который не на асе висит, и на нее не смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 23-Авг-11, 07:53 
>[оверквотинг удален]
> Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в
> этой сети. Одно из устройств - ASA. Все прекрасно, все работает.
> Но вот возникла задача, из этой сети, которая /27 переместить хост за
> ASA NAT, с сохранением адреса.
> Если я правильно понимаю, то делаю правило для ната, в котором src
> outside будет старый адрес устройства, когда оно еще не было за
> натом.
> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
> отвечать адресом, который не на асе висит, и на нее не
> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?

Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи или нет...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от Aleks305 (ok) on 23-Авг-11, 09:50 
>[оверквотинг удален]
>> Но вот возникла задача, из этой сети, которая /27 переместить хост за
>> ASA NAT, с сохранением адреса.
>> Если я правильно понимаю, то делаю правило для ната, в котором src
>> outside будет старый адрес устройства, когда оно еще не было за
>> натом.
>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>> отвечать адресом, который не на асе висит, и на нее не
>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
> или нет...

немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное решение.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 01-Сен-11, 13:42 
>[оверквотинг удален]
>>> outside будет старый адрес устройства, когда оно еще не было за
>>> натом.
>>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>>> отвечать адресом, который не на асе висит, и на нее не
>>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
>> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
>> или нет...
> немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с
> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
> решение.

думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста, он с маской /27, при этом внешний адрес асы - тоже в этой сети, с той же маской, соответственно. Если перенести хост за асу, и в соответствующем snat рулесе оставить адрес - это нормально? нужен proxy-arp?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от Aleks305 (ok) on 01-Сен-11, 18:23 
>[оверквотинг удален]
>>> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
>>> или нет...
>> немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с
>> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
>> решение.
> думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста,
> он с маской /27, при этом внешний адрес асы - тоже
> в этой сети, с той же маской, соответственно. Если перенести хост
> за асу, и в соответствующем snat рулесе оставить адрес - это
> нормально? нужен proxy-arp?

как-то не особо нормально. Я бы сделал на asa прозрачный файрвол, то есть вообще не вешал бы на нее никаких ip(только для управления). Тогда можно переносить без опаски хост за asa с сохранением ip

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 01-Сен-11, 19:50 
>[оверквотинг удален]
>>> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
>>> решение.
>> думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста,
>> он с маской /27, при этом внешний адрес асы - тоже
>> в этой сети, с той же маской, соответственно. Если перенести хост
>> за асу, и в соответствующем snat рулесе оставить адрес - это
>> нормально? нужен proxy-arp?
> как-то не особо нормально. Я бы сделал на asa прозрачный файрвол, то
> есть вообще не вешал бы на нее никаких ip(только для управления).
> Тогда можно переносить без опаски хост за asa с сохранением ip

К сожалению, асу уже не переделать в транспарент, т.к. много чего на ней сейчас есть.

Вот вы говорите - "как-то не особо нормально", а в чем ненормальность? Что не так-то? Где что-то может вылезти?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от tanker (ok) on 01-Сен-11, 20:35 
а какая сеть со стороны ASA у Вас будет смотреть на host со "старым" адресом?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 04-Сен-11, 20:19 
> а какая сеть со стороны ASA у Вас будет смотреть на host
> со "старым" адресом?

Похоже надо картинку нарисовать... Как нарисую - отпишусь. В любом случае - спасибо за отклики.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от frob (ok) on 04-Сен-11, 20:38 
> Похоже надо картинку нарисовать... Как нарисую - отпишусь. В любом случае -
> спасибо за отклики.

Надо объяснить что вы имеете в виду под "сохранением старого адреса хоста".
Есть разница между "хост должен быть доступен снаружи по старому адресу" и "на хосте крутится прикладуха за лимон баксов, лицензия привязана к IP-адресу".

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 on 08-Сен-11, 18:37 
>[оверквотинг удален]
> Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в
> этой сети. Одно из устройств - ASA. Все прекрасно, все работает.
> Но вот возникла задача, из этой сети, которая /27 переместить хост за
> ASA NAT, с сохранением адреса.
> Если я правильно понимаю, то делаю правило для ната, в котором src
> outside будет старый адрес устройства, когда оно еще не было за
> натом.
> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
> отвечать адресом, который не на асе висит, и на нее не
> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?

если я правильно понял тебе нужен static NAT. У тебя есть пул внешних адресов в котором сервера + ASA.  У ASA как минимум два интерфейса, один смотрит во внешний пул другой например в приватный DMZ. Сервера переносятся в приватный DMZ и получаю приватные адреса. ASA на внешнем интерфейсе перенимает старые внешние адреса серверов и маппит их к новым приватным адресам в DMZ. Taк ?

Какая версия ASA ? У них вроде поменялся синтаксис на 8.4

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda email(ok) on 09-Сен-11, 00:14 
>[оверквотинг удален]
>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>> отвечать адресом, который не на асе висит, и на нее не
>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
> если я правильно понял тебе нужен static NAT. У тебя есть пул
> внешних адресов в котором сервера + ASA.  У ASA как
> минимум два интерфейса, один смотрит во внешний пул другой например в
> приватный DMZ. Сервера переносятся в приватный DMZ и получаю приватные адреса.
> ASA на внешнем интерфейсе перенимает старые внешние адреса серверов и маппит
> их к новым приватным адресам в DMZ. Taк ?
> Какая версия ASA ? У них вроде поменялся синтаксис на 8.4

Да, именно так. То что в 8.4 поменялся синтаксис - это я знаю. Спасибо за напоминание. Сам съел собаку при настройке ipseс. Недюженные батхерты получил по этому поводу.

Для уточнения, почему спрашиваю. Дело в том, что например, на juniper srx - очень важно включать proxy arp для каждой трансляции static nat. Но там это обязательное условие - для любых конфигураций.

Как у циски в такой конфигурации, когда надо статически натить в тои же пул, что и сама аса своим интерфейсом смотрит -  не знаю....

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 09-Сен-11, 11:55 
>[оверквотинг удален]
>> Какая версия ASA ? У них вроде поменялся синтаксис на 8.4
> Да, именно так. То что в 8.4 поменялся синтаксис - это я
> знаю. Спасибо за напоминание. Сам съел собаку при настройке ipseс. Недюженные
> батхерты получил по этому поводу.
> Для уточнения, почему спрашиваю. Дело в том, что например, на juniper srx
> - очень важно включать proxy arp для каждой трансляции static nat.
> Но там это обязательное условие - для любых конфигураций.
> Как у циски в такой конфигурации, когда надо статически натить в тои
> же пул, что и сама аса своим интерфейсом смотрит -  
> не знаю....

На ASA для static NAT proxy arp не нужен на сколько я знаю. Вот твой сценарий
http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...

и пример настройки static NAT для вебсервера который стоит за ASA

http://www.cisco.com/en/US/docs/security/asa/asa84/configura...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 09-Сен-11, 15:53 
>[оверквотинг удален]
>> - очень важно включать proxy arp для каждой трансляции static nat.
>> Но там это обязательное условие - для любых конфигураций.
>> Как у циски в такой конфигурации, когда надо статически натить в тои
>> же пул, что и сама аса своим интерфейсом смотрит -
>> не знаю....
> На ASA для static NAT proxy arp не нужен на сколько я
> знаю. Вот твой сценарий
> http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...
> и пример настройки static NAT для вебсервера который стоит за ASA
> http://www.cisco.com/en/US/docs/security/asa/asa84/configura...

Спасибо. По поводу proxy-arp - не совсем понятно, почему не надо использовать? Можете что-то пояснить, пожалуйста.
За ссылку - спасибо. Это все понятно. Я концептуально усомнился, и еще пока сомневаюсь что так можно делать, получается, что аса в таклом сетапе должна будет отвечать на арпы, не только про свой адрес, но и про адреса из этого же широковещательного домена, в которой у ней самой есть интерфейс.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 09-Сен-11, 18:55 
>[оверквотинг удален]
>> http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...
>> и пример настройки static NAT для вебсервера который стоит за ASA
>> http://www.cisco.com/en/US/docs/security/asa/asa84/configura...
> Спасибо. По поводу proxy-arp - не совсем понятно, почему не надо использовать?
> Можете что-то пояснить, пожалуйста.
> За ссылку - спасибо. Это все понятно. Я концептуально усомнился, и еще
> пока сомневаюсь что так можно делать, получается, что аса в таклом
> сетапе должна будет отвечать на арпы, не только про свой адрес,
> но и про адреса из этого же широковещательного домена, в которой
> у ней самой есть интерфейс.

почему бы так не делать, причин не вижу

вот кусок show arp на рутере провайдера

.............

Internet  ххх.ххх.95.3           10   d0d0.fdfe.a116  ARPA   Vlan3
Internet  ххх.ххх.95.4          113   d0d0.fdfe.a116  ARPA   Vlan3
Internet  ххх.ххх.95.5           60   d0d0.fdfe.a116  ARPA   Vlan3
Internet  ххх.ххх.95.6          140   d0d0.fdfe.a116  ARPA   Vlan3
Internet  ххх.ххх.95.7           34   d0d0.fdfe.a116  ARPA   Vlan3

.............

d0d0.fdfe.a116 это MAC моей ASA. xxx.xxx.95.3 ее родной адрес. Все остальные адреса web и mail серверов которые стоят в DMZ.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda email(ok) on 12-Сен-11, 12:22 
>[оверквотинг удален]
> 113   d0d0.fdfe.a116  ARPA   Vlan3
> Internet  ххх.ххх.95.5          
>  60   d0d0.fdfe.a116  ARPA   Vlan3
> Internet  ххх.ххх.95.6          
> 140   d0d0.fdfe.a116  ARPA   Vlan3
> Internet  ххх.ххх.95.7          
>  34   d0d0.fdfe.a116  ARPA   Vlan3
> .............
> d0d0.fdfe.a116 это MAC моей ASA. xxx.xxx.95.3 ее родной адрес. Все остальные адреса
> web и mail серверов которые стоят в DMZ.

Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из одной сети, и в одном бродкастном домене? А прокси-арп включили для этого?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 12-Сен-11, 12:48 
> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
> одной сети, и в одном бродкастном домене? А прокси-арп включили для
> этого?

да, именно так. тот же сценарий и с CheckPoint и с pFsense. Proxy-arp не включен, а зачем ?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda email(ok) on 12-Сен-11, 15:03 
>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>> этого?
> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
> Proxy-arp не включен, а зачем ?

Да я вот сам никак не пойму. В сомнение вводит что на Juniper SRX`ах - это требование - жесткое для SNAT`а...

Может кто подскажет?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 12-Сен-11, 18:34 
>>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>>> этого?
>> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
>> Proxy-arp не включен, а зачем ?
> Да я вот сам никак не пойму. В сомнение вводит что на
> Juniper SRX`ах - это требование - жесткое для SNAT`а...
> Может кто подскажет?

пруфлинк ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda email(ok) on 13-Сен-11, 00:53 
>>>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>>>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>>>> этого?
>>> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
>>> Proxy-arp не включен, а зачем ?
>> Да я вот сам никак не пойму. В сомнение вводит что на
>> Juniper SRX`ах - это требование - жесткое для SNAT`а...
>> Может кто подскажет?
> пруфлинк ?

Ниже фрагменты доков и самое последнее - некоторые размышления на эту тему

http://www.juniper.net/techpubs/software/junos-es/junos-es93...

http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf

http://kengilmour.com/geeklog/public_html/article.php?story=...

http://boardreader.com/thread/confused_about_static_arp_and_...

Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 13-Сен-11, 03:07 
>[оверквотинг удален]
>>> Да я вот сам никак не пойму. В сомнение вводит что на
>>> Juniper SRX`ах - это требование - жесткое для SNAT`а...
>>> Может кто подскажет?
>> пруфлинк ?
> Ниже фрагменты доков и самое последнее - некоторые размышления на эту тему
> http://www.juniper.net/techpubs/software/junos-es/junos-es93...
> http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf
> http://kengilmour.com/geeklog/public_html/article.php?story=...
> http://boardreader.com/thread/confused_about_static_arp_and_...
> Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.

ни в одной ссылке не написано что для static NAT у Juniper _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это не твой случай.
Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что он тебе именно в этом случае обсалютно не нужен. А если твой рутер будет соеденен через PPP к инету, как ты тогда будешь устраивать Proxy ARP на внешнем интерфейсе ???

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 13-Сен-11, 19:26 
>[оверквотинг удален]
>> http://kengilmour.com/geeklog/public_html/article.php?story=...
>> http://boardreader.com/thread/confused_about_static_arp_and_...
>> Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.
> ни в одной ссылке не написано что для static NAT у Juniper
> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
> не твой случай.
> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
> он тебе именно в этом случае обсалютно не нужен. А если
> твой рутер будет соеденен через PPP к инету, как ты тогда
> будешь устраивать Proxy ARP на внешнем интерфейсе ???

Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...

Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, не для всей сети...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 13-Сен-11, 20:06 
>[оверквотинг удален]
>> ни в одной ссылке не написано что для static NAT у Juniper
>> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
>> не твой случай.
>> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
>> он тебе именно в этом случае обсалютно не нужен. А если
>> твой рутер будет соеденен через PPP к инету, как ты тогда
>> будешь устраивать Proxy ARP на внешнем интерфейсе ???
> Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из
> этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее,
> они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...

например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.

Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, не меняя при этом адрес вебсервера для внешнего мира.

Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его надо NATить и с внешнего интерфейса ASA пакет уходит в мир уже от 10.1.1.20.

Для рутера провайдера это все выглядит так как будто ASA имеет два адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил выше рутер моего прова видет что все мои внешние адреса принадлежат одному MAC адресу а именно моей ASA. За ASA в приватном DMZ стоят все мои почтовые и вебсервера.

> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
> не для всей сети...

Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой broadcast domain. Это значит что когда рутер провайдера спрашивает who has 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном и том же broadcast domain где и рутер провайдера и перенаправляет это в broadcast domain там где стоит сервер 10.1.1.20.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 14-Сен-11, 19:34 
>[оверквотинг удален]
> выше рутер моего прова видет что все мои внешние адреса принадлежат
> одному MAC адресу а именно моей ASA. За ASA в приватном
> DMZ стоят все мои почтовые и вебсервера.
>> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
>> не для всей сети...
> Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой
> broadcast domain. Это значит что когда рутер провайдера спрашивает who has
> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
> и том же broadcast domain где и рутер провайдера и перенаправляет
> это в broadcast domain там где стоит сервер 10.1.1.20.

Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае - и есть другой бродкастный домен?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 14-Сен-11, 22:46 
>[оверквотинг удален]
>> DMZ стоят все мои почтовые и вебсервера.
>>> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
>>> не для всей сети...
>> Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой
>> broadcast domain. Это значит что когда рутер провайдера спрашивает who has
>> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
>> и том же broadcast domain где и рутер провайдера и перенаправляет
>> это в broadcast domain там где стоит сервер 10.1.1.20.
> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
> - и есть другой бродкастный домен?

да, но это и другой subnet. Proxy ARP нужен если один subnet но два broadcast domains.

При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов. При Proxy ARP ASA просто говорит что знает как передать ARP пакет в нужный broadcast domain.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda email(ok) on 15-Сен-11, 01:34 
>[оверквотинг удален]
>>> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
>>> и том же broadcast domain где и рутер провайдера и перенаправляет
>>> это в broadcast domain там где стоит сервер 10.1.1.20.
>> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
>> - и есть другой бродкастный домен?
> да, но это и другой subnet. Proxy ARP нужен если один subnet
> но два broadcast domains.
> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
> При Proxy ARP ASA просто говорит что знает как передать ARP
> пакет в нужный broadcast domain.

Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а когда используется Juniper SRX в качестве межсетевого экрана.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от lamer2k600 (ok) on 15-Сен-11, 02:02 
>[оверквотинг удален]
>>>> это в broadcast domain там где стоит сервер 10.1.1.20.
>>> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
>>> - и есть другой бродкастный домен?
>> да, но это и другой subnet. Proxy ARP нужен если один subnet
>> но два broadcast domains.
>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>> При Proxy ARP ASA просто говорит что знает как передать ARP
>> пакет в нужный broadcast domain.
> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
> когда используется Juniper SRX в качестве межсетевого экрана.

фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону провайдера смотрим через PPP ?


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от bda (ok) on 19-Сен-11, 08:33 
>[оверквотинг удален]
>>>> - и есть другой бродкастный домен?
>>> да, но это и другой subnet. Proxy ARP нужен если один subnet
>>> но два broadcast domains.
>>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>>> При Proxy ARP ASA просто говорит что знает как передать ARP
>>> пакет в нужный broadcast domain.
>> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
>> когда используется Juniper SRX в качестве межсетевого экрана.
> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
> провайдера смотрим через PPP ?

Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy arp в одном правиле для одного адреса - перставал нат работать для этого сервера... Что доставляет...:(

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от 1314 on 26-Июн-12, 18:15 
>[оверквотинг удален]
>>>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>>>> При Proxy ARP ASA просто говорит что знает как передать ARP
>>>> пакет в нужный broadcast domain.
>>> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
>>> когда используется Juniper SRX в качестве межсетевого экрана.
>> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
>> провайдера смотрим через PPP ?
> Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy
> arp в одном правиле для одного адреса - перставал нат работать
> для этого сервера... Что доставляет...:(

У меня такая же фигня, можешь сказать у тебя на juniper из локальной сети при static nat при обращении на внешний ip который соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp на внешнем ip ?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "вопрос по Cisco ASA (8.4.2) NAT"  +/
Сообщение от 1314 on 26-Июн-12, 18:17 
>[оверквотинг удален]
>>>> когда используется Juniper SRX в качестве межсетевого экрана.
>>> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
>>> провайдера смотрим через PPP ?
>> Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy
>> arp в одном правиле для одного адреса - перставал нат работать
>> для этого сервера... Что доставляет...:(
> У меня такая же фигня, можешь сказать у тебя на juniper из
> локальной сети при static nat при обращении на внешний ip который
> соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp
> на внешнем ip ?

сори на внешнем интерфейсе

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру