Перейти к содержимому
Калькуляторы

Господа, кто сталкивался с сим богомерзким поделием?

Там вообще похоже все плохо с роутингом.

 

Начиная с того что OSPF в ptp режиме не работает, заканчивая тем что на ней нуллроут сделать невозможно.

 

Подскажите как реализовать следующую схему.

Есть Сisco ASA-5512x

За АСА находится пачка динамически подключаемых VPN клиентов.

С другой стороны у асы большой ospf домен в который должны ходить эти самые клиенты.

АСА подключена к c3750 по EIGRP на которой сделана редистрибуция из eigrp в ospf.

 

Необходимо инжектировать в eigrp суммарный маршрут до пула VPN адресов.

Как это сделать - ума не приложу.

 

Если бы на месте АСЫ была циска все просто, раутнул суммарную сеть в нуль, и сделал дистрибут статик в протокол динамической маршрутизации.

Все красиво, все работает, лишних сетей в таблице маршрутизации не плодим...

 

А тут как?

Спасибо.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему не написать на 3750 статический до VPN пула и не редистрибнуть в IGP ?

Можно и статическим на 3750, но уж больно костыльно (там придется ещё и фильтры городить, т.к. не обовсей статики с 3750 надо знать в IGP). Думал может просмотрел какой метод.

 

Был неприятно удивлен кривизной роутинга в АСА.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть у меня ASA, но проверять лень :)

мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь

 

это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :)

Изменено пользователем zi_rus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть у меня ASA, но проверять лень :)

мысль такая пришла, создать лупбек на асе 192.168.1.1/32, засунуть его в area 1 (или любую другую), если конечно asa в Area 0 сейчас, и сделать суммирование area 1 range 192.168.1.0 255.255.255.0 (суммировать она умеет), и вроде как должно помочь

 

это тоже костыли, но выглядят прямее, хотя если не рассказать, зачем такое делается, могут за дурака принять :)

Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1

 

Предлагают вот так делать http://djlongplay.com/blog/2011/01/06/null0-interface-on-a-cisco-asa/

Но адски уродливый вариант.

 

PS: решил вопрос проще:

route management 10.0.0.0 255.255.255.0 10.0.0.1 200


router eigrp 100
no auto-summary
eigrp router-id 172.20.1.202
network 172.20.1.208 255.255.255.252
redistribute static
!

 

 

c3750_01_s1#sh ip eigrp topology 10.0.0.0/24
EIGRP-IPv4:(100) (AS 100): Topology Default-IP-Routing-Table(0) entry for 10.0.0.0/24
 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 3072
 Descriptor Blocks:
 172.20.1.210 (Vlan901), from 172.20.1.210, Send flag is 0x0
     Composite metric is (3072/2816), Route is External

В теории должно работать, но пока не проверял.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык это... Вы удивитесь, но лупбеков в асе тоже НЕТ!!!1

 

Предлагают вот так делать http://djlongplay.co...on-a-cisco-asa/

Но адски уродливый вариант.

ааа, это жесть, а я думал что есть, еще думал, какой бы ip выделить чтобы пользоваться

 

про вариант по ссылке подумал сразу же как увидел что лупбек она действительно не умеет :)

а еще аса не умеет gre. и циска говорит что люди просто железку не по назначению используют :), но типа в блокнотик себе записали, когда-нибудь в отдаленном светлом будущем запилить и gre, слишком много реквестов от покупателей на эту тему

после таких приколов я для себя понял что асу по нормальному только в transparent режиме можно использовать, а роутить роутерами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так у Cisco на их схемах всегда так и нарисовано, ASA и рядом какой-нибудь роутер. Собственно Juniper этим пользуется и в своих презентация рисует один SRX и говорит смотрите какие мы молодцы - у нас firewall+полноценный роутер вместо двух железяк

Ну таки да, роутеры у меня занимаются совсем другими вещами, аса это ВПН+CX функционал (Чота типа Web Gateway).

 

Но тут была ПРОСТЕЙШАЯ задача с которой даже мыльница умеющая ospf справится.

В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить.

В итоге подняли eigrp, и тут засада, простейший функционал как нуллроуты и лупбеки недоступен.

 

Будем писать фичереквесты и много ругаться. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst

вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco

 

вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Продайте ASA и купите SRX, куда более универсальная железка)

 

И дешевле вроде бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco просто не видит смысла в обширном роутинге на firewall.

видимо только циска и не видит, а народ шлет фича-реквесты

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst

вы купили железку, которая не умеет нужные вам фичи, это ваша проблема, а не Cisco

 

вот когда фичи заявлены и не работают(как у микротика), то тут конечно претензия к вендору

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами?

 

Так что в данном случае это проблема циски.

 

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги.

 

Так что мимо .)

 

Продайте ASA и купите SRX, куда более универсальная железка)

 

И дешевле вроде бы.

 

SRX не умеет и 10й доли того что мне нужно это этой асы.

В часности функционал CX (Cisco Prime).

 

Cisco просто не видит смысла в обширном роутинге на firewall. Мол не должны использоваться фичи маршрутизатора на межсетевом экране. Вот они bgp сделали на asa с версии 9.2, с списке новых фич с каждой версии прошивки увеличивают фнукционал. Так что в скором будущем может быть будет полноценно выполнять все фичи роутера.

Да мне особо роутинга и не надо там. Но наличие лупбека и нулл интерфейса имхо должно присутствовать на любом сетевом девайсе через который проходить IP трафик.

 

Кстати коллеги, а подскажите, умеет ли оно такую фичу:

 

Per user traffic policing.

 

Тоесть подключается VPN клиент по l2tp скажем, оно хренакс на интерфейс полиси на 10 мегабит...

 

Я что то по гайду пробежался - не нашел как это может называться. И так каждому новому юзеру.

 

Может кто подскажет?

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

ну вот неочевидные

вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам

другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst, а какая такая у вас ASA?

 

Я вот посмотрел:

ASA(config)# route ?

configure mode commands/options:
Current available interface(s):
 <skip>
 Null0       Null interface
 <skip>

 

ASA# sh ver

Cisco Adaptive Security Appliance Software Version 9.2(1)

 

Оно даже роутить умеет (по крайней мере обещает):

 

ASA(config)# router ?

configure mode commands/options:
 bgp    Border Gateway Protocol (BGP)
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)
ASA(config)# router bgp ?

configure mode commands/options:
 <1-4294967295>  Autonomous system number
 <1.0-XX.YY>     Autonomous system number

Изменено пользователем stepashka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco Adaptive Security Appliance Software Version 9.2(1)

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

Вы же не проверяете умеет ли роутер роутить пакетики меж интерфейсами?

Это общепринятые фичи маршрутизатора, а не фаервола.

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг? вы прям как абонент с информатиностью проблемы "не работает"

 

К тому же железку я пока НЕ купил а взял на тест. Никто в своем уме кота в мешке не покупает за такие деньги.

вот это правильный подход. взяли на тест, не нравится - берите другое. Cisco в отличии от всякого китайского шлака, который лепит как попало, быстро ничего не доработает, особенно если вы не планируете купить вагон асашек

 

но судя по всему, вам ничего не подходит.

 

И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить

 

Cisco Prime

я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi

 

В итоге оспф между асой и 3750 завести вообще не удалось, соседство видет, маршруты асы с 3750 получает, а вот с асы никакие маршруты так и не удалось получить.

То, что циска с циской не поднимает ospf соседство, это тоже проблема циски а не моя.

Почему-то мне кажется, что вы пытаетесь нас наобмануть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это общепринятые фичи маршрутизатора, а не фаервола.

Да лааааадно. Нулл в который можно завернуть нелегетимый трафик дабы разгрузийть фаервол и лупбек с которого можно поднимать VPN соединения это не фичи ваервола? Сказок не надо рассказывать. Для любого сетевого девайса оперирующего IP трафиком наличие таких вещей является нормальным.

 

 

Это либо баг, либо не совпадает что-то - mtu, net-type, таймеры. где дебаг?

Вот именно на стандартном широковещательном интерфейсе и не поднялось.

Когда установили со стороны 3750 ptp а со стороны АСА ptp non-broadcast, аса увидела маршуты от 37й но свои отдавать отказалась.

Дальнейшие изыскания показали что необходимо ПОЛНОСТЬЮ удалить network type с обоих сторон (!!!) и только тогда с АСА будут получаться маршруты, но к сожалению не все (была установлена опция дистрибут статик) из 3х статиков дистрибутилось только 1.

Это самый натуральный баг.

 

вы прям как абонент с информатиностью проблемы "не работает"

А покажите где я в моем посте просил "помогите мне ospf настроить"? Опыта с оспф у меня более чем, я просто констатировал факт его глючности в асе. По этому без лишних подробностей.

 

но судя по всему, вам ничего не подходит.

Судя по всему кое-что может и подходит, но что именно подходит покажет только тест, никакая документация, темболее на редкие дорогие железки не отвечает на вопрос будет ли железо работать в моем сценарии так как надо.

 

И наконец что мешает взять ASA + l3 свитч? свитчи же дешёвые относительно. да и к тому же l3 свитч можно и альтернативный взять, если надо сэкономить

 

Каким, вот каким боком вы придумали сюда l3 свич? Какие функции он должен по вашем исполнять в моем случае?

И да, 3750 это как раз таки стэк из l3 свичей cisco, правда я не понимаю каким образом они относятся к разговору.

 

 

я вижу смысл плодить эту проприетарщину лишь в том случае если у вас абсолютно всё на cisco вплоть до аксессных свитчей и точек доступа wifi

 

Изыскания, показали что продуктов которые мне подходят по пальцам руки пересчитать. ASA CX - один из них.

 

Почему-то мне кажется, что вы пытаетесь нас наобмануть

 

В церкви то давно были? А то все кажется да кажется. Прочитайте выше про оспф, сделайте выводы.

 

myst, а какая такая у вас ASA?

 

Я вот посмотрел:

ASA(config)# route ?

configure mode commands/options:
Current available interface(s):
 <skip>
 Null0       Null interface
 <skip>

 

ASA# sh ver

Cisco Adaptive Security Appliance Software Version 9.2(1)

 

Оно даже роутить умеет (по крайней мере обещает):

 

ASA(config)# router ?

configure mode commands/options:
 bgp    Border Gateway Protocol (BGP)
 eigrp  Enhanced Interior Gateway Routing Protocol (EIGRP)
 ospf   Open Shortest Path First (OSPF)
 rip    Routing Information Protocol (RIP)
ASA(config)# router bgp ?

configure mode commands/options:
 <1-4294967295>  Autonomous system number
 <1.0-XX.YY>     Autonomous system number

# sh ver

Cisco Adaptive Security Appliance Software Version 9.1(1) 
Device Manager Version 7.2(1)

Compiled on Wed 28-Nov-12 11:15 PST by builders
System image file is "disk0:/asa911-smp-k8.bin"

 

Вот такая вот.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так стоп, это настолько очевидные общепринятые фичи (в часности нулл-роут) что проверять их наличие просто абсурдно.

ну вот неочевидные

вот вы на*бались, для следующей железки перед покупкой доку почитаете внимательно по всем нужным фичам

другое дело если фичи потребовались в процессе, тогда придется пойти на апгрейд железки

Ну вот тот же лупбек я лично категорически не считаю фичей. Это стандарт дефакто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

 

Но лупбэков там все равно нет.

 

Брал, кажется, тута:

asa921-smp-k8.bin

 

Но видел ещё и вот тут:

b794f3ff9672c42f9df03d5b0499af96.jpg

Изменено пользователем stepashka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну вот поэтому она и умеет

и bgp и Null0, у меня в самой свежей 9,1,5 этого нет

 

откуда 9,2 взяли?

 

Но лупбэков там все равно нет.

 

Брал, кажется, тута:

asa921-smp-k8.bin

 

Но видел ещё и вот тут:

b794f3ff9672c42f9df03d5b0499af96.jpg

все, я понял.

9,2 выпустили для 5500-Х, а у меня старая, поэтому этого нет, и есть мнение что те кто юзает старые асы никогда нулл роуты и bgp не увидят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF.

 

Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На асе по идее должны появляться /32 маршруты до пользователей в таблице маршурутизации.

Если по дефолту так не выходит - то это можно настроить. КАжется называется reverse route injection - гуглите.

Далее эти маршруты можно редистрибутить стандартным методом.

Изменено пользователем -Pave1-

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А OSPF между асой и прочими устройствами - работает без каких либо проблем.

Тут уже Вы очевидно делаете что то не так.

 

То что АСА как роутер УГ - это понятно.

Но если не пытаться ей решать не возложенные на нее задачи - жить с ней можно.

Изменено пользователем -Pave1-

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF.

 

Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX?

content filtering - это скорее аналог NBAR + regex в ISR.

 

CX - это вроде как NGF.

Там правила настраиваются гибко по приложениям и юзерам. Можно например кому то разрешить входить в один раздел фэйсбука и запретить другой, запретить skype, teamviewr и т.д.

Соответственно у них оч сложная база сигнатур приложений. Она расшифровать ssl по принципу man in the middle и т.д.

 

Как понимаю - у джуна аналогов нет.

Изменено пользователем -Pave1-

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.