作者aiweisen (鲁‧排骨宅)
看板Network
标题[问答] cisco防火墙接法
时间Mon Aug 24 13:45:18 2015
大家好
虽本身是资讯相关 但是领域不同 最近实验室搞了一台cisco asa5506的防火墙
设定也设好了 但老板看了我们接法 直说我们接法接错了 改天把它弄正确
实验室有被分配到两条线(从系上的switch拉进来实验室的)
而且有分配给我们13组实体ip 其中一组ip无流量限制
此外两条线都是直接接上实验室的switch
我们目前的其中一台的switch接法是这样
____________________________________________________
系上 | 实验室内
switch---- |-----------switch------------------ (指定无流量的ip,设定为outside)
| //|||\\ |___ asa5506
| (直接在电脑上指定实体ip) //|||\\\
| (直接在电脑上设定虚拟ip或dhcp自动取得)
|_______________________________________________________
也就是说
从系上接到我们实验室的switch後,直接拉port连接在实验室的电脑,手动设定实体ip
此外其中一个port拉给asa5506使用,并设定outside、inside,只保护asa5506底下的电脑。
但是现在 我们老板说 防火墙顺序放反了
应该是 系上的switch给的线 要先接到实验室内的asa5506,
接着asa5506在接到实验室内的switch,最後再由switch给底下的电脑使用
不过我这边有一个问题就是 但是「switch(系上)-asa5506(LAB)-switch(LAB)」的接法
不就不能从实验室内的switch分配实体给底下的电脑了?
因为目前asa5506用的是router模式,outside ip 不是只能给一组实体ip吗?
然後再藉由inside 连到底下的设备(使用dhcp分配ip)
我想问的是 有办法做到
「switch(系上)-asa5506(LAB)-switch(LAB)」的架构
在我们实验室的电脑接上switch(LAB)後 仍然是可以设定其他实体IP上网吗?
但这边就有问题是 那麽outside ip会怎麽设?
我自己的想法是 是不是outside ip 可以设定一组实体ip的范围
然後在内部电脑对应到outside的各组实体ip 然後连到外面的internet?
--
作者 MicroGG (La new总冠军) 看板 Japan_Travel
标题 [问题] 温泉旅馆的儿童人头算法?
1F:→ robler:问问题然後自称拎背这样好吗 有点礼貌ok?04/11 16:32
2F:→ penan:骨科大 XD04/11 16:34
3F:→ MicroGG:你不懂,我有苦衷,我不说拎杯会被乡民骂..04/11 16:36
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.138.150.27
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1440395122.A.C91.html
4F:推 zaknafein: 直接回答倒数两行 「可以」 请搜寻 static nat 08/24 13:55
5F:→ zaknafein: 不过 outside interface 只能设一个 ip address 08/24 13:56
6F:→ zaknafein: 其他主机是透过 一对一的 ip address mapping 达成 08/24 13:56
ASA5506有八个孔
那不就变成 g 0/1为outside(接一个无限流量的实体ip) g 0/2为inside(接出去switch)
switch底下就是用dhcp方式分配ip
然後asa5506的其他孔 每两个孔为一组( g 0/3 跟g 0/4、g 0/5跟g 0/6、g 0/7跟g 0/8),
每组做static nat,分别为唯一个实体ip对应到另一个的虚拟ip
是这样子吗?
7F:→ WandZarDeen: Transparent Mode? 08/24 13:59
8F:推 asdfghjklasd: 管他什麽Mode ,为什麽你们买东西只买设备不买服务? 08/24 18:13
是asd大!
是这样子的 一年保固是还在
只是想说问代理商的工程师之前 先做点功课(因为不熟cisco)
在指导上也比较快(没有买人力服务,只有一般电话或mail指导)
因为之前经销商打算派来的工程师因家庭因素提出辞职 现在还在徵人
其他地区的工程师也在忙 无法支援
临时派的工程师水准也不是很好 没有帮我设定好基本的防火墙(是在学的勤益大学生)
最後变成我自己跑去google国外的教学 才设定好
变成是说 乾脆找代理商还比较快
※ 编辑: aiweisen (140.138.150.27), 08/24/2015 19:10:30
9F:→ deadwood: 该从何处开始吐槽...OTZ,买防火墙不用规划一下架构? 08/24 21:20
10F:→ deadwood: 回到正题,设定static nat的公有IP不必指定到port上 08/24 21:27
11F:→ deadwood: 只需要在nat里面设定要对应要转换的私有IP 08/24 21:28
12F:→ deadwood: 设定正确的话,ASA自然会把IP转换得好好的 08/24 21:29
13F:推 asdfghjklasd: 上面是好心人@@,还好你买的是思科。。 08/24 21:42
14F:→ asdfghjklasd: SMARTNET 也只有5x8NBD 电话跟Email服务。。。 08/24 21:43
15F:推 asdfghjklasd: 可能最後还是得怪我,因为是我推荐他买5506-X.. 08/24 21:46
16F:→ deadwood: 不过ASA的nat对初学者来讲可能会弄到靠杯靠目.... 08/24 21:54
17F:推 asdfghjklasd: 我拿到的第一天,从晚上十点设到早上5点才把我要的 08/24 22:30
18F:→ asdfghjklasd: 弄好设好。。。 08/24 22:31
19F:→ asdfghjklasd: 要是用HP MSR ROuter 我只要5分钟。。 08/24 22:31
20F:推 shuinedu: asdf大大要了什麽 怎麽花这麽久的时间.... 08/24 22:42
21F:推 asdfghjklasd: 基本上就是 Static NAT,开 Port,弄VPN,不小心 08/25 08:54
22F:→ asdfghjklasd: 把sfr弄到进不去,然後杀掉重新Download Image 08/25 08:55
23F:→ asdfghjklasd: 再丢进去 5506-X 重新来过,起动,更新。。 08/25 08:55
24F:推 littlecut: sfr XD我上次也是弄好久才救起来XD 08/25 09:21
25F:推 zaknafein: static nat 跟实体 port 没有关系 08/25 12:13
26F:→ zaknafein: 应该是设定中会出现如 08/25 12:14
27F:→ zaknafein: static (inside,outside) 实体IP1 虚拟IP1 之类的对应 08/25 12:15
28F:→ zaknafein: 实际设定跟 asa version 有关 所以请上网查设定 08/25 12:16
29F:→ zaknafein: 关键字 asa static nat example 08/25 12:17
谢谢大家的回覆 这就去试试看
※ 编辑: aiweisen (140.138.150.27), 08/25/2015 14:27:16
30F:→ flyiii: 没甚麽好吐槽的阿,就买硬体不买服务 XD 08/25 20:53
31F:推 asdfghjklasd: 这样就不需要SI的存在了啊... 08/26 07:48
32F:→ asdfghjklasd: SI 就可以全部倒光光了 08/26 07:48
33F:推 b325019: 第一推就已经讲完答案了,在来NAT是对IP转换会扯到实体 08/26 09:14
34F:→ b325019: port代表你最好从nat开始学 08/26 09:14
35F:推 asdfghjklasd: 8.3 以後 obj 很好用啊.. 08/26 10:40