服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Cisco ASA 5520上的公有子网configuration
Intereting Posts
获得昂贵的服务器有什么好处? 运行PowerShell步骤所需的MSSQL代理系统权限 如何在INPUT链中打开端口,仅针对目标IP,使用iptables? 使用访问权限的Postfix main.cf通配符电子邮件 Windows DNS服务器导出 需要build议:从SAN引导回直接连接存储 错误svn:OPTIONS无法连接到服务器 代理服务器接受TLS 1.0并向下游调用TLS 1.2 如何使用Proxmox控制面板重build虚拟机? 如何在另一个驱动器上保存MySQL数据库? 测量整个数据存储在VMWare中的IOPS 有什么方法可以将Tomcat 6 stdout和stderr日志存储到外部服务器? Cloudflare数据隐私和政策? 为Active Directory转发未parsing的DNS查询 eucarc的采购意味着什么?

Cisco ASA 5520上的公有子网configuration

我试图build立一个Cisco ASA 5520作为我们数据中心设置的主要入口点。 这个设置包括:

  • 在云服务器configuration中使用的三个专用networking(pipe理,SAN和备份)
  • 一个公共访问/ 26子网,用于客户服务器和云服务器configuration

所以networking被定义为: 

Subnet 80.50.100.64/26 ISP Gateway 80.50.100.65 Management 10.10.10.0/24 SAN 10.20.20.0/24 Backup 10.30.30.0/24

目前有一些客户服务器已经在线,使用Catalyst 3548XL连接到互联网。 目前的情况是这样的: 

 ISP Uplink ---> Cisco Catalyst 3548XL |--> Customer servers on /26 subnet, using ISP gateway |--> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway) |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack

我想要实现的是将Catalyst放在ASA之后,所以ISP上行链路连接到ASA,/ 26子网连接到ASA后面的“内部”端口(我认为是DMZ设置? )。 最好仍然使用ISP网关(.65)作为/ 26子网的互联网网关,所以我不需要联系我的客户来更新他们的networkingconfiguration。 如果我正确地理解了文档,这应该只能使用透明的防火墙设置,但是由于ASA不支持混合使用透明和路由安全上下文,而且我确实需要为我的专用networking进行路由configuration,所以这应该很难实现。 但如果我错了,请纠正我。

目前唯一的解决scheme似乎是将ASA引入额外的跳跃,使其成为/ 26子网的网关。 我完全不知道如何设置这个,我真的希望有人可以给我一些关于如何实现这一目标的指针。

所需的设置将如下所示: 

 ISP Uplink ---> Cisco ASA 5520 (80.50.100.66 on outside intf, routing to ISP gateway (.65) |--> Public subnet (Don't know what the IP config should be) | |--> Cisco Catalyst 3548XL | |--> Customer servers on /26 subnet (Gateway = ?) | |--> Cloud setup public connections (Gateway = ?) | |--> Management: 10.10.10.1 --> Dell 7024 Gigabit stack |--> SAN: 10.20.20.1 --> Dell 7024 Gigabit stack |--> Backup: 10.30.30.1 --> Dell 7024 Gigabit stack

我认为一个解决办法是将ASA外部设置为80.50.100.66 ,networking掩码为255.255.255.252 ,公共内部接口为80.50.100.67 ,其余部分为/ 26子网,但ASA不会让我这样做子网会重叠,所以现在我卡住了!

为了能够在ASA内部拥有/ 26“内部”,您需要一个链接网(可能是/ 30),您的isp路由器和ASA进行通信。 但是,一种select是使用1:1的NAT,以防万一你不能轻易得到这样的linknet。

我的一个客户有一个/ 19的networking,所以我把100.100.0.0/30做成了一个连接网,除此之外的任何东西(100.100.1-31./24等)都在asa之后,进一步分成多个/ 24个,/ 29,/ 30等,每个都在自己的VLAN中。

所以我最好的build议就是要求你的提供商提供一个linknet,把你的/ 26放在ASA之后 – 或者简单的使用NAT 1:1(在我看来,它不那么灵活,并且会创build更多的潜在configuration,到IPv6)。

要实现NAT 1:1,请使用RFC1918 CIDR(例如10.40.40.0/24)设置接口(或子接口),让ASA有一个地址(通常为.1或.254)。 将所有DMZ主机放入此子网,将ASA IP作为默认网关。 根据您运行的Cisco ASA OS版本,nat的命令差别很大。 但是,这个想法是为每一个未使用的公共IP向内部对手进行静态NAT。

例: 

 10.40.40.2 static NAT to 80.50.100.67 10.40.40.3 static NAT to 80.50.100.68 10.40.40.4 static NAT to 80.50.100.69