myst Опубликовано 27 мая, 2014 (изменено) · Жалоба Господа, кто сталкивался с сим богомерзким поделием? Там вообще похоже все плохо с роутингом. Начиная с того что OSPF в ptp режиме не работает, заканчивая тем что на ней нуллроут сделать невозможно. Подскажите как реализовать следующую схему. Есть Сisco ASA-5512x За АСА находится пачка динамически подключаемых VPN клиентов. С другой стороны у асы большой ospf домен в который должны ходить эти самые клиенты. АСА подключена к c3750 по EIGRP на которой сделана редистрибуция из eigrp в ospf. Необходимо инжектировать в eigrp суммарный маршрут до пула VPN адресов. Как это сделать - ума не приложу. Если бы на месте АСЫ была циска все просто, раутнул суммарную сеть в нуль, и сделал дистрибут статик в протокол динамической маршрутизации. Все красиво, все работает, лишних сетей в таблице маршрутизации не плодим... А тут как? Спасибо. Изменено 28 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 28 мая, 2014 · Жалоба А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 (изменено) · Жалоба А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ? Можно и статическим на 3750, но уж больно костыльно (там придется ещё и фильтры городить, т.к. не обовсей статики с 3750 надо знать в IGP). Думал может просмотрел какой метод. Был неприятно удивлен кривизной роутинга в АСА. Изменено 28 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 28 мая, 2014 (изменено) · Жалоба есть у меня ASA, но проверять лень :) мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :) Изменено 28 мая, 2014 пользователем zi_rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 (изменено) · Жалоба есть у меня ASA, но проверять лень :) мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :) Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1 Предлагают вот так делать http://djlongplay.com/blog/2011/01/06/null0-interface-on-a-cisco-asa/ Но адски уродливый вариант. PS: решил вопрос проще: route management 10.0.0.0 255.255.255.0 10.0.0.1 200 router eigrp 100 no auto-summary eigrp router-id 172.20.1.202 network 172.20.1.208 255.255.255.252 redistribute static ! c3750_01_s1#sh ip eigrp topology 10.0.0.0/24 EIGRP-IPv4:(100) (AS 100): Topology Default-IP-Routing-Table(0) entry for 10.0.0.0/24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 3072 Descriptor Blocks: 172.20.1.210 (Vlan901), from 172.20.1.210, Send flag is 0x0 Composite metric is (3072/2816), Route is External В теории должно работать, но пока не проверял. Изменено 28 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 28 мая, 2014 · Жалоба Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1 Предлагают вот так делать http://djlongplay.co...on-a-cisco-asa/ Но адски уродливый вариант. ааа, это жесть, а я думал что есть, еще думал, какой бы ip выделить чтобы пользоваться про вариант по ссылке подумал сразу же как увидел что лупбек она действительно не умеет :) а еще аса не умеет gre. и циска говорит что люди просто железку не по назначению используют :), но типа в блокнотик себе записали, когда-нибудь в отдаленном светлом будущем запилить и gre, слишком много реквестов от покупателей на эту тему после таких приколов я для себя понял что асу по нормальному только в transparent режиме можно использовать, а роутить роутерами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 мая, 2014 · Жалоба Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 · Жалоба Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк Ну таки да, роутеры у меня занимаются совсем другими вещами, аса это ВПН+CX функционал (Чота типа Web Gateway). Но тут была ПРОСТЕЙШАЯ задача с которой даже мыльница умеющая ospf справится. В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить. В итоге подняли eigrp, и тут засада, простейший функционал как нуллроуты и лупбеки недоступен. Будем писать фичереквесты и много ругаться. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 мая, 2014 · Жалоба myst вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 28 мая, 2014 · Жалоба Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 28 мая, 2014 · Жалоба Продайте ASA и купите SRX, куда более универсальная железка) И дешевле вроде бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 28 мая, 2014 · Жалоба Cisco просто не видит смысла в обширном роутинге на firewall. видимо только циска и не видит, а народ шлет фича-реквесты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 (изменено) · Жалоба myst вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами? Так что в данном случае это проблема циски. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги. Так что мимо .) Продайте ASA и купите SRX, куда более универсальная железка) И дешевле вроде бы. SRX не умеет и 10й доли того что мне нужно это этой асы. В часности функционал CX (Cisco Prime). Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера. Да мне особо роутинга и не надо там. Но наличие лупбека и нулл интерфейса имхо должно присутствовать на любом сетевом девайсе через который проходить IP трафик. Кстати коллеги, а подскажите, умеет ли оно такую фичу: Per user traffic policing. Тоесть подключается VPN клиент по l2tp скажем, оно хренакс на интерфейс полиси на 10 мегабит... Я что то по гайду пробежался - не нашел как это может называться. И так каждому новому юзеру. Может кто подскажет? Изменено 28 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 28 мая, 2014 · Жалоба Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. ну вот неочевидные вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepashka Опубликовано 28 мая, 2014 (изменено) · Жалоба myst, а какая такая у вас ASA? Я вот посмотрел: ASA(config)# route ? configure mode commands/options: Current available interface(s): <skip> Null0 Null interface <skip> ASA# sh ver Cisco Adaptive Security Appliance Software Version 9.2(1) Оно даже роутить умеет (по крайней мере обещает): ASA(config)# router ? configure mode commands/options: bgp Border Gateway Protocol (BGP) eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) ASA(config)# router bgp ? configure mode commands/options: <1-4294967295> Autonomous system number <1.0-XX.YY> Autonomous system number Изменено 28 мая, 2014 пользователем stepashka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 28 мая, 2014 · Жалоба Cisco Adaptive Security Appliance Software Version 9.2(1) ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 мая, 2014 · Жалоба Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами? Это общепринятые фичи маршрутизатора, а не фаервола. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? вы прям как абонент с информатиностью проблемы "не работает" К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги. вот это правильный подход. взяли на тест, не нравится - берите другое. Cisco в отличии от всякого китайского шлака, который лепит как попало, быстро ничего не доработает, особенно если вы не планируете купить вагон асашек но судя по всему, вам ничего не подходит. И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить Cisco Prime я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить. То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя. Почему-то мне кажется, что вы пытаетесь нас наобмануть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 (изменено) · Жалоба Это общепринятые фичи маршрутизатора, а не фаервола. Да лааааадно. Нулл в который можно завернуть нелегетимый трафик дабы разгрузийть фаервол и лупбек с которого можно поднимать VPN соединения это не фичи ваервола? Сказок не надо рассказывать. Для любого сетевого девайса оперирующего IP трафиком наличие таких вещей является нормальным. Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? Вот именно на стандартном широковещательном интерфейсе и не поднялось. Когда установили со стороны 3750 ptp а со стороны АСА ptp non-broadcast, аса увидела маршуты от 37й но свои отдавать отказалась. Дальнейшие изыскания показали что необходимо ПОЛНОСТЬЮ удалить network type с обоих сторон (!!!) и только тогда с АСА будут получаться маршруты, но к сожалению не все (была установлена опция дистрибут статик) из 3х статиков дистрибутилось только 1. Это самый натуральный баг. вы прям как абонент с информатиностью проблемы "не работает" А покажите где я в моем посте просил "помогите мне ospf настроить"? Опыта с оспф у меня более чем, я просто констатировал факт его глючности в асе. По этому без лишних подробностей. но судя по всему, вам ничего не подходит. Судя по всему кое-что может и подходит, но что именно подходит покажет только тест, никакая документация, темболее на редкие дорогие железки не отвечает на вопрос будет ли железо работать в моем сценарии так как надо. И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить Каким, вот каким боком вы придумали сюда l3 свич? Какие функции он должен по вашем исполнять в моем случае? И да, 3750 это как раз таки стэк из l3 свичей cisco, правда я не понимаю каким образом они относятся к разговору. я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi Изыскания, показали что продуктов которые мне подходят по пальцам руки пересчитать. ASA CX - один из них. Почему-то мне кажется, что вы пытаетесь нас наобмануть В церкви то давно были? А то все кажется да кажется. Прочитайте выше про оспф, сделайте выводы. myst, а какая такая у вас ASA? Я вот посмотрел: ASA(config)# route ? configure mode commands/options: Current available interface(s): <skip> Null0 Null interface <skip> ASA# sh ver Cisco Adaptive Security Appliance Software Version 9.2(1) Оно даже роутить умеет (по крайней мере обещает): ASA(config)# router ? configure mode commands/options: bgp Border Gateway Protocol (BGP) eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) ASA(config)# router bgp ? configure mode commands/options: <1-4294967295> Autonomous system number <1.0-XX.YY> Autonomous system number # sh ver Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.2(1) Compiled on Wed 28-Nov-12 11:15 PST by builders System image file is "disk0:/asa911-smp-k8.bin" Вот такая вот. Изменено 28 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 28 мая, 2014 · Жалоба Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно. ну вот неочевидные вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки Ну вот тот же лупбек я лично категорически не считаю фичей. Это стандарт дефакто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepashka Опубликовано 29 мая, 2014 (изменено) · Жалоба ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Но лупбэков там все равно нет. Брал, кажется, тута: asa921-smp-k8.bin Но видел ещё и вот тут: Изменено 29 мая, 2014 пользователем stepashka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 29 мая, 2014 · Жалоба ну вот поэтому она и умеет и bgp и Null0, у меня в самой свежей 9,1,5 этого нет откуда 9,2 взяли? Но лупбэков там все равно нет. Брал, кажется, тута: asa921-smp-k8.bin Но видел ещё и вот тут: все, я понял. 9,2 выпустили для 5500-Х, а у меня старая, поэтому этого нет, и есть мнение что те кто юзает старые асы никогда нулл роуты и bgp не увидят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 29 мая, 2014 · Жалоба myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF. Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 29 мая, 2014 (изменено) · Жалоба На асе по идее должны появляться /32 маршруты до пользователей в таблице маршурутизации. Если по дефолту так не выходит - то это можно настроить. КАжется называется reverse route injection - гуглите. Далее эти маршруты можно редистрибутить стандартным методом. Изменено 29 мая, 2014 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 29 мая, 2014 (изменено) · Жалоба А OSPF между асой и прочими устройствами - работает без каких либо проблем. Тут уже Вы очевидно делаете что то не так. То что АСА как роутер УГ - это понятно. Но если не пытаться ей решать не возложенные на нее задачи - жить с ней можно. Изменено 29 мая, 2014 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 29 мая, 2014 (изменено) · Жалоба myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF. Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX? content filtering - это скорее аналог NBAR + regex в ISR. CX - это вроде как NGF. Там правила настраиваются гибко по приложениям и юзерам. Можно например кому то разрешить входить в один раздел фэйсбука и запретить другой, запретить skype, teamviewr и т.д. Соответственно у них оч сложная база сигнатур приложений. Она расшифровать ssl по принципу man in the middle и т.д. Как понимаю - у джуна аналогов нет. Изменено 29 мая, 2014 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...