Я пытаюсь настроить Cisco ASA 5520 в качестве основной точки входа для настройки нашего центра обработки данных. Эта установка включает:
Итак, сети определяются как:
Subnet 80.50.100.64/26
ISP Gateway 80.50.100.65
Management 10.10.10.0/24
SAN 10.20.20.0/24
Backup 10.30.30.0/24
В настоящее время некоторые серверы клиентов уже подключены к сети, и для их подключения к Интернету используется Catalyst 3548XL. Текущая ситуация выглядит так:
ISP Uplink ---> Cisco Catalyst 3548XL
|--> Customer servers on /26 subnet, using ISP gateway
|--> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway)
|--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
|--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
|--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
Я пытаюсь разместить Catalyst за ASA, чтобы канал восходящей связи ISP был подключен к ASA, а подсеть / 26 была подключена к «внутреннему» порту за ASA (что я думаю, это настройка DMZ? ). Желательно по-прежнему использовать шлюз ISP (0,65) в качестве интернет-шлюза для подсети / 26, чтобы мне не пришлось связываться с моими клиентами для обновления их сетевых конфигураций. Если я правильно понимаю документацию, это должно быть возможно только при использовании прозрачной настройки брандмауэра, но поскольку ASA не поддерживает сочетание прозрачных и маршрутизируемых контекстов безопасности, и мне определенно нужна маршрутизируемая конфигурация для моих частных сетей, этого должно быть трудно достичь. Но, пожалуйста, поправьте меня, если я ошибаюсь.
В настоящее время кажется, что единственное решение - ввести ASA в качестве дополнительного перехода, сделав его шлюзом для подсети / 26. Я совершенно не понимаю, как это настроить, и я очень надеюсь, что кто-то может дать мне несколько советов о том, как этого добиться.
Желаемая установка будет выглядеть так:
ISP Uplink ---> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway (.65)
|--> Public subnet (Don't know what the IP config should be)
| |--> Cisco Catalyst 3548XL
| |--> Customer servers on /26 subnet (Gateway = ?)
| |--> Cloud setup public connections (Gateway = ?)
|
|--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack
|--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack
|--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack
Я думал, что решением будет установить ASA снаружи на 80.50.100.66 с сетевой маской 255.255.255.252, и общедоступный внутренний интерфейс к 80.50.100.67 с остальной частью подсети / 26, но ASA не позволяет мне сделать это, поскольку подсети будут перекрываться, так что теперь я застрял!
Чтобы иметь возможность иметь / 26 «внутри» ASA, вам понадобится связная сеть (возможно, / 30), где маршрутизатор вашего провайдера и ASA обмениваются данными. Однако один из вариантов - использовать NAT 1: 1, если вы не можете легко получить такую сеть.
У моего клиента есть сеть / 19, поэтому я сделал 100.100.0.0/30 ссылочной сетью, и все, что кроме этого (100.100.1-31./24 и т. Д.), Находится за asa, далее разделенное на несколько / 24. , / 29, / 30 и т. Д., Каждый из которых находится в своей собственной VLAN.
Поэтому мой лучший совет - попросить у вашего провайдера линкнет и поместить свой / 26 за ASA - или просто использовать NAT 1: 1 (который, на мой взгляд, не такой гибкий и создаст больше потенциальных конфигураций и, следовательно, проблем при переходе в IPv6).
Для достижения NAT 1: 1 настройте интерфейс (или субинтерфейс) с CIDR RFC1918 (пример 10.40.40.0/24), пусть ASA имеет один адрес (обычно .1 или .254). Поместите все узлы DMZ в эту подсеть, сделайте IP-адрес ASA в качестве шлюза по умолчанию. В зависимости от того, какую версию ОС Cisco ASA вы запускаете, команда nat сильно отличается. Но идея состоит в том, чтобы сделать статическое преобразование NAT для каждого неиспользуемого общедоступного IP-адреса во внутренние аналоги.
пример:
10.40.40.2 static NAT to 80.50.100.67
10.40.40.3 static NAT to 80.50.100.68
10.40.40.4 static NAT to 80.50.100.69