Jump to content
Калькуляторы

cisco asa route injection

Господа, кто сталкивался с сим богомерзким поделием?

Там вообще похоже все плохо с роутингом.

 

Начиная с того что OSPF в ptp режиме не работает, заканчивая тем что на ней нуллроут сделать невозможно.

 

Подскажите как реализовать следующую схему.

Есть Сisco ASA-5512x

За АСА находится пачка динамически подключаемых VPN клиентов.

С другой стороны у асы большой ospf домен в который должны ходить эти самые клиенты.

АСА подключена к c3750 по EIGRP на которой сделана редистрибуция из eigrp в ospf.

 

Необходимо инжектировать в eigrp суммарный маршрут до пула VPN адресов.

Как это сделать - ума не приложу.

 

Если бы на месте АСЫ была циска все просто, раутнул суммарную сеть в нуль, и сделал дистрибут статик в протокол динамической маршрутизации.

Все красиво, все работает, лишних сетей в таблице маршрутизации не плодим...

 

А тут как?

Спасибо.

Edited by myst

Share this post


Link to post
Share on other sites

А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ?

Share this post


Link to post
Share on other sites

А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ?

Можно и статическим на 3750, но уж больно костыльно (там придется ещё и фильтры городить, т.к. не обовсей статики с 3750 надо знать в IGP). Думал может просмотрел какой метод.

 

Был неприятно удивлен кривизной роутинга в АСА.

Edited by myst

Share this post


Link to post
Share on other sites

есть у меня ASA, но проверять лень :)

мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь

 

это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :)

Edited by zi_rus

Share this post


Link to post
Share on other sites

есть у меня ASA, но проверять лень :)

мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь

 

это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :)

Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1

 

Предлагают вот так делать http://djlongplay.com/blog/2011/01/06/null0-interface-on-a-cisco-asa/

Но адски уродливый вариант.

 

PS: решил вопрос проще:

route management 10.0.0.0 255.255.255.0 10.0.0.1 200


router eigrp 100
no auto-summary
eigrp router-id 172.20.1.202
network 172.20.1.208 255.255.255.252
redistribute static
!

 

 

c3750_01_s1#sh ip eigrp topology 10.0.0.0/24
EIGRP-IPv4:(100) (AS 100): Topology Default-IP-Routing-Table(0) entry for 10.0.0.0/24
 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 3072
 Descriptor Blocks:
 172.20.1.210 (Vlan901), from 172.20.1.210, Send flag is 0x0
     Composite metric is (3072/2816), Route is External

В теории должно работать, но пока не проверял.

Edited by myst

Share this post


Link to post
Share on other sites

Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1

 

Предлагают вот так делать http://djlongplay.co...on-a-cisco-asa/

Но адски уродливый вариант.

ааа, это жесть, а я думал что есть, еще думал, какой бы ip выделить чтобы пользоваться

 

про вариант по ссылке подумал сразу же как увидел что лупбек она действительно не умеет :)

а еще аса не умеет gre. и циска говорит что люди просто железку не по назначению используют :), но типа в блокнотик себе записали, когда-нибудь в отдаленном светлом будущем запилить и gre, слишком много реквестов от покупателей на эту тему

после таких приколов я для себя понял что асу по нормальному только в transparent режиме можно использовать, а роутить роутерами

Share this post


Link to post
Share on other sites

Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк

Share this post


Link to post
Share on other sites

Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк

Ну таки да, роутеры у меня занимаются совсем другими вещами, аса это ВПН+CX функционал (Чота типа Web Gateway).

 

Но тут была ПРОСТЕЙШАЯ задача с которой даже мыльница умеющая ospf справится.

В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить.

В итоге подняли eigrp, и тут засада, простейший функционал как нуллроуты и лупбеки недоступен.

 

Будем писать фичереквесты и много ругаться. :)

Share this post


Link to post
Share on other sites

myst

вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco

 

вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору

Share this post


Link to post
Share on other sites

Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера.

Share this post


Link to post
Share on other sites

Продайте ASA и купите SRX, куда более универсальная железка)

 

И дешевле вроде бы.

Share this post


Link to post
Share on other sites

Cisco просто не видит смысла в обширном роутинге на firewall.

видимо только циска и не видит, а народ шлет фича-реквесты

Share this post


Link to post
Share on other sites

myst

вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco

 

вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами?

 

Так что в данном случае это проблема циски.

 

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги.

 

Так что мимо .)

 

Продайте ASA и купите SRX, куда более универсальная железка)

 

И дешевле вроде бы.

 

SRX не умеет и 10й доли того что мне нужно это этой асы.

В часности функционал CX (Cisco Prime).

 

Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера.

Да мне особо роутинга и не надо там. Но наличие лупбека и нулл интерфейса имхо должно присутствовать на любом сетевом девайсе через который проходить IP трафик.

 

Кстати коллеги, а подскажите, умеет ли оно такую фичу:

 

Per user traffic policing.

 

Тоесть подключается VPN клиент по l2tp скажем, оно хренакс на интерфейс полиси на 10 мегабит...

 

Я что то по гайду пробежался - не нашел как это может называться. И так каждому новому юзеру.

 

Может кто подскажет?

Edited by myst

Share this post


Link to post
Share on other sites

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

ну вот неочевидные

вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам

другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки

Share this post


Link to post
Share on other sites

myst, а какая такая у вас ASA?

 

Я вот посмотрел:

ASA(config)# route ?

configure mode commands/options:
Current available interface(s):
 <skip>
 Null0       Null interface
 <skip>

 

ASA# sh ver

Cisco Adaptive Security Appliance Software Version 9.2(1)

 

Оно даже роутить умеет (по крайней мере обещает):

 

ASA(config)# router ?

configure mode commands/options:
 bgp    Border Gateway Protocol (BGP)
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)
ASA(config)# router bgp ?

configure mode commands/options:
 <1-4294967295>  Autonomous system number
 <1.0-XX.YY>     Autonomous system number

Edited by stepashka

Share this post


Link to post
Share on other sites

Cisco Adaptive Security Appliance Software Version 9.2(1)

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

Share this post


Link to post
Share on other sites

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами?

Это общепринятые фичи маршрутизатора, а не фаервола.

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? вы прям как абонент с информатиностью проблемы "не работает"

 

К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги.

вот это правильный подход. взяли на тест, не нравится - берите другое. Cisco в отличии от всякого китайского шлака, который лепит как попало, быстро ничего не доработает, особенно если вы не планируете купить вагон асашек

 

но судя по всему, вам ничего не подходит.

 

И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить

 

Cisco Prime

я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi

 

В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить.

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

Почему-то мне кажется, что вы пытаетесь нас наобмануть

Share this post


Link to post
Share on other sites

Это общепринятые фичи маршрутизатора, а не фаервола.

Да лааааадно. Нулл в который можно завернуть нелегетимый трафик дабы разгрузийть фаервол и лупбек с которого можно поднимать VPN соединения это не фичи ваервола? Сказок не надо рассказывать. Для любого сетевого девайса оперирующего IP трафиком наличие таких вещей является нормальным.

 

 

Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг?

Вот именно на стандартном широковещательном интерфейсе и не поднялось.

Когда установили со стороны 3750 ptp а со стороны АСА ptp non-broadcast, аса увидела маршуты от 37й но свои отдавать отказалась.

Дальнейшие изыскания показали что необходимо ПОЛНОСТЬЮ удалить network type с обоих сторон (!!!) и только тогда с АСА будут получаться маршруты, но к сожалению не все (была установлена опция дистрибут статик) из 3х статиков дистрибутилось только 1.

Это самый натуральный баг.

 

вы прям как абонент с информатиностью проблемы "не работает"

А покажите где я в моем посте просил "помогите мне ospf настроить"? Опыта с оспф у меня более чем, я просто констатировал факт его глючности в асе. По этому без лишних подробностей.

 

но судя по всему, вам ничего не подходит.

Судя по всему кое-что может и подходит, но что именно подходит покажет только тест, никакая документация, темболее на редкие дорогие железки не отвечает на вопрос будет ли железо работать в моем сценарии так как надо.

 

И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить

 

Каким, вот каким боком вы придумали сюда l3 свич? Какие функции он должен по вашем исполнять в моем случае?

И да, 3750 это как раз таки стэк из l3 свичей cisco, правда я не понимаю каким образом они относятся к разговору.

 

 

я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi

 

Изыскания, показали что продуктов которые мне подходят по пальцам руки пересчитать. ASA CX - один из них.

 

Почему-то мне кажется, что вы пытаетесь нас наобмануть

 

В церкви то давно были? А то все кажется да кажется. Прочитайте выше про оспф, сделайте выводы.

 

myst, а какая такая у вас ASA?

 

Я вот посмотрел:

ASA(config)# route ?

configure mode commands/options:
Current available interface(s):
 <skip>
 Null0       Null interface
 <skip>

 

ASA# sh ver

Cisco Adaptive Security Appliance Software Version 9.2(1)

 

Оно даже роутить умеет (по крайней мере обещает):

 

ASA(config)# router ?

configure mode commands/options:
 bgp    Border Gateway Protocol (BGP)
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)
ASA(config)# router bgp ?

configure mode commands/options:
 <1-4294967295>  Autonomous system number
 <1.0-XX.YY>     Autonomous system number

# sh ver

Cisco Adaptive Security Appliance Software Version 9.1(1) 
Device Manager Version 7.2(1)

Compiled on Wed 28-Nov-12 11:15 PST by builders
System image file is "disk0:/asa911-smp-k8.bin"

 

Вот такая вот.

Edited by myst

Share this post


Link to post
Share on other sites

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

ну вот неочевидные

вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам

другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки

Ну вот тот же лупбек я лично категорически не считаю фичей. Это стандарт дефакто.

Share this post


Link to post
Share on other sites

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

 

Но лупбэков там все равно нет.

 

Брал, кажется, тута:

asa921-smp-k8.bin

 

Но видел ещё и вот тут:

b794f3ff9672c42f9df03d5b0499af96.jpg

Edited by stepashka

Share this post


Link to post
Share on other sites

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

 

Но лупбэков там все равно нет.

 

Брал, кажется, тута:

asa921-smp-k8.bin

 

Но видел ещё и вот тут:

b794f3ff9672c42f9df03d5b0499af96.jpg

все, я понял.

9,2 выпустили для 5500-Х, а у меня старая, поэтому этого нет, и есть мнение что те кто юзает старые асы никогда нулл роуты и bgp не увидят

Share this post


Link to post
Share on other sites

myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF.

 

Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX?

Share this post


Link to post
Share on other sites

На асе по идее должны появляться /32 маршруты до пользователей в таблице маршурутизации.

Если по дефолту так не выходит - то это можно настроить. КАжется называется reverse route injection - гуглите.

Далее эти маршруты можно редистрибутить стандартным методом.

Edited by -Pave1-

Share this post


Link to post
Share on other sites

А OSPF между асой и прочими устройствами - работает без каких либо проблем.

Тут уже Вы очевидно делаете что то не так.

 

То что АСА как роутер УГ - это понятно.

Но если не пытаться ей решать не возложенные на нее задачи - жить с ней можно.

Edited by -Pave1-

Share this post


Link to post
Share on other sites

myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF.

 

Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX?

content filtering - это скорее аналог NBAR + regex в ISR.

 

CX - это вроде как NGF.

Там правила настраиваются гибко по приложениям и юзерам. Можно например кому то разрешить входить в один раздел фэйсбука и запретить другой, запретить skype, teamviewr и т.д.

Соответственно у них оч сложная база сигнатур приложений. Она расшифровать ssl по принципу man in the middle и т.д.

 

Как понимаю - у джуна аналогов нет.

Edited by -Pave1-

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this