У меня есть Cisco ASA5510, и в статьях, касающихся ASA и нескольких общедоступных IP-адресов, говорится, что это невозможно. Мой вопрос в том, как лучше всего решить такой сценарий:
У меня 3 зоны: внешняя, внутренняя и DMZ.
Мой сценарий немного сложнее, но для простоты я сделаю следующее:
Я хочу разместить сервер Exchange и веб-сервер (доступный извне в зоне DMZ)
Веб-сервер использует TCP80 / 443, сервер Exchange - 443
Итак, к проблеме: с ASA, имеющим только один общедоступный IP-адрес, как бы вы сделали DNAT для порта 443 на обоих внутренних хостах за 1 общедоступным IP-адресом? Обычно, когда я делаю такой сценарий С ящиками Linux я использую интерфейсы псевдонимов, такие как eth0: 0, eth0: 1, и устанавливаю 1 общедоступный IP-адрес для каждого.
Для меня это должно быть довольно распространенный сценарий, есть идеи, как решить его с помощью ASA?
/ KGDI
Прежде всего, если у вас действительно только один общедоступный IP-адрес, попытка перенаправления одного и того же порта для двух внутренних хостов не сработает.
Если у вас есть диапазон IP-адресов, возможно, ваш интернет-провайдер предоставил вам небольшую подсеть / 29, тогда вам повезло. Если они маршрутизируют / 29 на ваш ASA, то, очевидно, как обычно, вы можете настроить только один IP-адрес на внешнем интерфейсе, но если он получает трафик для этих дополнительных IP-адресов, он может работать с ними.
(Ниже приведен пример ASA, которому назначается IP через PPPoE, и ISP направляет / 29 к этому интерфейсу, но если, например, ваш исходящий канал является сегментом Ethernet, ASA может использовать прокси-ARP).
Поскольку вы не указали версию ОС ASA, которую вы используете, я не могу более конкретно, поэтому вот пример, который я использую, который находится в версии 8.2. Это позволяет RDP (порт 3389) на втором общедоступном IP-адресе в той же подсети, маршрутизированной на ASA, два вторых внутренних хоста (я включил правила NAT по умолчанию и т. Д., Чтобы вы могли видеть более широкую картину).
! Assume we get assigned the public IP 1.2.3.4, and also in this subnet
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal host 192.168.0.20.
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group PNDSL
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
access-list inside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list rdp_inbound extended permit tcp any interface outside eq 3389
access-list rdp_inbound_54 extended permit tcp any host 1.2.3.5 eq 3389 log
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside
Я надеюсь, что это правильная конфигурация для вас, я сосредоточился на 8.4, поскольку внесенные ими изменения слишком велики для моего простого мозга, а вещи до 8.4 выпадают из моего носа!
В этом нет ничего необычного. Это правда, что устройство ASA не может содержать более одного IP-адреса в каждой подсети.
Однако стандартная практика - ИСПОЛЬЗОВАТЬ больше адресов. Вы можете настроить NAT для IP-адресов, не принадлежащих ASA. Единственное требование - эти адреса маршрутизируются к вам вашим провайдером - они даже не обязательно должны находиться в той же подсети, что и ваша ссылочная сеть.
Кто сказал, что у ASA только один общедоступный iP?
Это брандмауэр, он может принимать любой трафик, которому вы ему прикажете.
IP-адреса, отличные от его собственного внешнего IP-адреса, могут быть преобразованы с помощью NAT к другим интерфейсам (или, скорее, внутренние порты могут быть преобразованы с помощью NAT к IP-адресам на внешнем интерфейсе).
Вот как ASA работает; у него нет традиционной маршрутизации, но все происходит через NAT.