forum.opennet.ru

Составление сообщения

Исходное сообщение

"вопрос по Cisco ASA (8.4.2) NAT"
Отправлено lamer2k600, 13-Сен-11 20:06

>[оверквотинг удален]
>> ни в одной ссылке не написано что для static NAT у Juniper
>> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
>> не твой случай.
>> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
>> он тебе именно в этом случае обсалютно не нужен. А если
>> твой рутер будет соеденен через PPP к инету, как ты тогда
>> будешь устраивать Proxy ARP на внешнем интерфейсе ???
> Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из
> этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее,
> они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...
например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.
Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, не меняя при этом адрес вебсервера для внешнего мира.
Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его надо NATить и с внешнего интерфейса ASA пакет уходит в мир уже от 10.1.1.20.
Для рутера провайдера это все выглядит так как будто ASA имеет два адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил выше рутер моего прова видет что все мои внешние адреса принадлежат одному MAC адресу а именно моей ASA. За ASA в приватном DMZ стоят все мои почтовые и вебсервера.
> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
> не для всей сети...
Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой broadcast domain. Это значит что когда рутер провайдера спрашивает who has 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном и том же broadcast domain где и рутер провайдера и перенаправляет это в broadcast domain там где стоит сервер 10.1.1.20.

Исходное сообщение
"вопрос по Cisco ASA (8.4.2) NAT" Отправлено lamer2k600, 13-Сен-11 20:06
>[оверквотинг удален] >> ни в одной ссылке не написано что для static NAT у Juniper >> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это >> не твой случай. >> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что >> он тебе именно в этом случае обсалютно не нужен. А если >> твой рутер будет соеденен через PPP к инету, как ты тогда >> будешь устраивать Proxy ARP на внешнем интерфейсе ??? > Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из > этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, > они просто висят на интерфейсе вышестоящего рутера, как /27 сеть... например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1. Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, не меняя при этом адрес вебсервера для внешнего мира. Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его надо NATить и с внешнего интерфейса ASA пакет уходит в мир уже от 10.1.1.20. Для рутера провайдера это все выглядит так как будто ASA имеет два адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил выше рутер моего прова видет что все мои внешние адреса принадлежат одному MAC адресу а именно моей ASA. За ASA в приватном DMZ стоят все мои почтовые и вебсервера. > Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, > не для всей сети... Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой broadcast domain. Это значит что когда рутер провайдера спрашивает who has 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном и том же broadcast domain где и рутер провайдера и перенаправляет это в broadcast domain там где стоит сервер 10.1.1.20.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>>> ни в одной ссылке не написано что для static NAT у Juniper 
>>> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это 
>>> не твой случай.
>>> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что 
>>> он тебе именно в этом случае обсалютно не нужен. А если 
>>> твой рутер будет соеденен через PPP к инету, как ты тогда 
>>> будешь устраивать Proxy ARP на внешнем интерфейсе ???
>> Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из 
>> этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, 
>> они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...

> например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс 
> с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В 
> той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть 
> (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.

> Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 
> за ASA, не меняя при этом адрес вебсервера для внешнего мира.

> Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 
> (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. 
> Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 
> (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера 
> спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA 
> знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 
> 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 
> (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его 
> надо NATить и с внешнего интерфейса ASA пакет уходит в мир 
> уже от 10.1.1.20.

> Для рутера провайдера это все выглядит так как будто ASA имеет два 
> адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил 
> выше рутер моего прова видет что все мои внешние адреса принадлежат 
> одному MAC адресу а именно моей ASA. За ASA в приватном 
> DMZ стоят все мои почтовые и вебсервера.

>> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, 
>> не для всей сети...

> Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой 
> broadcast domain. Это значит что когда рутер провайдера спрашивает who has 
> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном 
> и том же broadcast domain где и рутер провайдера и перенаправляет 
> это в broadcast domain там где стоит сервер 10.1.1.20.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру