f13 Опубликовано 29 мая, 2014 · Жалоба а так? http://socpuppet.blogspot.ru/2014/05/route-injection-cisco-asa-vpn-and-ospf.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 29 мая, 2014 · Жалоба myst, все же я не пойму в чем проблема сделать статик маршрут до сетей VPN ASA на 3750 и его проанонсировать в OSPF. Да не проблема конечно, я просто удивляюсь что реализованы такие простые вещи. Честно говоря не работал с CX, но в чем его отличие от того же content filtering и web-filtering на SRX? Ну наверное отличние в том, что это далеко не только фильтеринг. Мне больше нужна аутентификация доменных/не доменных пользователей, как прозрачная так и через портал, разные filter set исходя из доменной группы пользователей итд итп. Этого SRX не умеет. А OSPF между асой и прочими устройствами - работает без каких либо проблем. Тут уже Вы очевидно делаете что то не так. То что АСА как роутер УГ - это понятно. Но если не пытаться ей решать не возложенные на нее задачи - жить с ней можно. У меня OSPF работает без проблем в домене на более 1000 роутеров. С типичным конфигом. Кост, таймеры (единственное это ptp линки везде). С асой это не заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 29 мая, 2014 · Жалоба У меня аса вполне себе позволяет настроить: interface GigabitEthernet0/0 ospf network point-to-point [ non-broadcast ] Вот пассивный интерфейсы и /31 сети на интерфейсах - аса не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 29 мая, 2014 (изменено) · Жалоба У меня аса вполне себе позволяет настроить: interface GigabitEthernet0/0 ospf network point-to-point [ non-broadcast ] Вот пассивный интерфейсы и /31 сети на интерфейсах - аса не умеет. Отлично да, Без non-broadcast оно говорит инкомплит комманд. тоесть нельзя указать просто ospf network point-to-point На 3750 же наоборот или ip ospf network point-to-point или ip ospf network non-broadcast. Если выставляю ip ospf network point-to-point то соседства не устанавливается вообще. Если устанавливаю non-broadcast то соседство устанавливается одностороннее. АСА маршруты получает а 3750 Нет. На сайте циски даже есть рекомендация убрать команду ospf network с обоих сторон, мол только так оно работает. Проверял, да работает. Но очень криво. На асе указано: route INT 1.1.1.0/24 x.x.x.x route INT 2.2.2.0/24 y.y.y.y и дистрибут статик в оспф. 3750 при этом видет только какой нибудь 1 маршрут. Фильтров никаких нет с обоих сторон. Круто? Это конечно все можно было отдебажить, найти причину... Но осадочек уже остался. Простейшее соседство двух девайсов одной фирмы в рамках 1 area, напрямую подключенных одним кабелем не заводится. Изменено 29 мая, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 29 мая, 2014 · Жалоба "sh ip ospf data | b Type-5" с 3750 плиз, сомневаюсь что проблема в Циске... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 29 мая, 2014 · Жалоба "sh ip ospf data | b Type-5" с 3750 плиз, сомневаюсь что проблема в Циске... Да я уже убрал оспф между асой и 3750. Это вам ничего не даст. c3750_01_s1#sh ip ospf data | b Type-5 Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 0.0.0.0 10.0.1.2 839 0x8000005D 0x0043A5 0 0.0.0.0 10.0.3.1 306 0x8000002A 0x00A179 0 10.0.0.0 10.0.1.0 392 0x80000037 0x0097BD 0 10.0.0.0 10.0.3.0 422 0x80000054 0x00CBEA 0 10.0.0.3 10.0.1.0 1402 0x80000013 0x00C1B4 0 10.0.1.0 10.0.1.0 1153 0x800013B4 0x00D7EB 0 10.0.1.192 10.0.1.2 1021 0x80000225 0x00DBA3 0 10.0.3.0 10.0.3.0 422 0x800011F2 0x003D46 0 10.0.3.128 10.0.3.0 422 0x80000124 0x0006DB 0 10.0.30.0 10.0.3.0 422 0x800011F2 0x000BDE 0 10.0.31.255 10.0.3.0 422 0x800011F2 0x00699D 0 10.0.32.0 172.20.3.249 170 0x80000088 0x00FAC1 0 10.0.64.0 172.20.3.249 1629 0x80000141 0x0025BD 0 10.0.96.0 172.20.3.249 1120 0x8000000F 0x002BCA 0 10.0.128.0 172.20.3.249 1370 0x8000008D 0x00CC8A 0 10.0.160.0 172.20.3.249 620 0x80000092 0x0061D0 0 10.0.192.0 172.20.3.249 1370 0x8000013C 0x00A9BD 0 10.0.224.0 172.20.3.249 1629 0x80000143 0x003A06 0 10.1.0.0 172.20.3.249 1370 0x8000008C 0x00488F 0 10.1.32.0 172.20.3.249 1370 0x80000231 0x006AC4 0 10.1.64.0 172.20.3.249 863 0x80000028 0x004EAD 0 10.1.96.0 172.20.3.249 1376 0x8000001F 0x00FEE5 0 10.1.128.0 172.20.3.249 1635 0x80000011 0x00B919 0 10.1.160.0 172.20.3.249 1376 0x8000003A 0x000683 0 10.1.192.0 172.20.3.249 1376 0x80000128 0x00C5B4 0 10.1.224.0 172.20.3.249 1376 0x80000005 0x00ADD0 0 10.2.0.0 172.20.3.249 1635 0x8000003A 0x00E048 0 10.2.32.0 172.20.3.249 1126 0x8000003C 0x007B8B 0 10.2.64.0 172.20.3.249 1376 0x800004D7 0x00D670 0 10.2.96.0 172.20.3.249 116 0x8000009B 0x00F96D 0 10.2.128.0 172.20.3.249 116 0x80000004 0x00C717 0 10.2.160.0 172.20.3.249 625 0x80000008 0x005E5C 0 10.2.192.0 172.20.3.249 1376 0x800003ED 0x002889 0 10.2.224.0 172.20.3.249 1635 0x8000002C 0x005303 0 10.3.0.0 172.20.3.249 869 0x80000063 0x00827C 0 10.3.32.0 172.20.3.249 869 0x80000063 0x0021BD 0 10.3.64.0 172.20.3.249 869 0x80000063 0x00BFFE 0 10.4.0.0 172.20.3.249 1376 0x8000003D 0x005ECF 0 10.4.32.0 172.20.3.249 1635 0x80000160 0x0018C7 0 10.4.64.0 172.20.3.249 1376 0x8000003A 0x0006E0 0 10.4.96.0 172.20.3.249 116 0x80000007 0x000BEE 0 10.4.128.0 172.20.3.249 1635 0x80000054 0x000F7D 0 10.4.160.0 172.20.3.249 116 0x8000015B 0x009CC7 0 10.4.192.0 172.20.3.249 869 0x8000015A 0x003D08 0 10.5.0.0 172.20.3.249 1376 0x80000231 0x009BAF 0 10.5.32.0 172.20.3.249 1126 0x8000003C 0x0057AC 0 10.5.64.0 172.20.3.249 1635 0x8000003A 0x00F9EB 0 10.5.96.0 172.20.3.249 1894 0x8000005A 0x00584D 0 10.5.128.0 172.20.3.249 1635 0x8000002A 0x00575E 0 10.5.224.0 172.20.3.249 1635 0x80000011 0x006509 0 10.6.0.0 172.20.3.249 1126 0x8000003C 0x00AC76 0 10.6.64.0 172.20.3.249 1376 0x80000005 0x0058C1 0 10.6.96.0 172.20.3.249 1376 0x80000231 0x006B7E 0 10.6.128.0 172.20.3.249 1126 0x8000003C 0x00277B 0 10.6.160.0 10.0.1.0 1159 0x8000018D 0x00995D 0 10.6.163.0 10.0.1.0 1159 0x8000139F 0x00B9F6 0 10.6.192.0 172.20.3.249 1635 0x80000013 0x00B6D4 0 10.6.224.0 172.20.3.249 869 0x80000028 0x002B2B 0 10.10.1.0 172.20.0.69 574 0x800000AE 0x00C9A0 0 10.10.2.0 172.20.0.77 2652 0x80000063 0x002587 0 10.10.3.0 172.20.0.85 1781 0x80000062 0x00EBB8 0 10.10.32.0 10.0.3.0 428 0x80001202 0x00C427 0 10.10.35.0 10.0.3.0 428 0x800011F4 0x005C7B 0 80.243.70.80 10.0.1.0 1159 0x800006F6 0x002F17 0 172.16.0.0 10.0.3.0 428 0x800011F2 0x001C47 0 172.20.0.0 10.0.3.0 428 0x8000018D 0x00875D 0 172.20.1.200 10.0.1.0 1159 0x80000064 0x009199 0 172.20.1.208 10.0.1.0 398 0x8000003C 0x0091B9 0 172.20.3.100 10.0.3.0 428 0x800009F7 0x0017D7 0 172.20.3.108 10.0.3.0 428 0x80000CDB 0x00F50A 0 172.20.3.224 10.0.3.0 428 0x800011F3 0x00E198 0 172.20.32.0 172.20.3.249 176 0x80000089 0x00C53F 0 172.20.64.0 172.20.3.249 1635 0x80000141 0x00F13A 0 172.20.96.0 172.20.3.249 1126 0x8000000F 0x00F747 0 172.20.128.0 172.20.3.249 1376 0x8000008D 0x009907 0 172.20.160.0 172.20.3.249 626 0x80000092 0x002E4D 0 172.20.192.0 172.20.3.249 1376 0x8000014F 0x00504D 0 172.20.224.0 172.20.3.249 1635 0x80000143 0x000782 0 172.21.0.0 172.20.3.249 1376 0x8000008C 0x00150C 0 172.21.32.0 172.20.3.249 1376 0x80000231 0x003741 0 172.21.64.0 172.20.3.249 869 0x80000028 0x001B2A 0 172.21.96.0 172.20.3.249 1376 0x8000001F 0x00CB62 0 172.21.128.0 172.20.3.249 1635 0x80000011 0x008695 0 172.21.160.0 172.20.3.249 1376 0x8000003A 0x00D2FF 0 172.21.192.0 172.20.3.249 1376 0x80000128 0x009231 0 172.21.224.0 172.20.3.249 1376 0x80000005 0x007A4D 0 172.22.0.0 172.20.3.249 1635 0x8000003A 0x00ADC4 0 172.22.32.0 172.20.3.249 1126 0x80000678 0x00BD50 0 172.22.64.0 172.20.3.249 1376 0x800004D7 0x00A3EC 0 172.22.96.0 172.20.3.249 117 0x8000011A 0x00C66A 0 172.22.128.0 172.20.3.249 117 0x80000118 0x0069A9 0 172.22.160.0 172.20.3.249 626 0x80000008 0x002BD8 0 172.22.192.0 172.20.3.249 1376 0x800003ED 0x00F406 0 172.22.224.0 172.20.3.249 1635 0x8000002C 0x00207F 0 172.23.0.0 172.20.3.249 869 0x80000063 0x004FF8 0 172.23.32.0 172.20.3.249 869 0x80000063 0x00ED3A 0 172.23.64.0 172.20.3.249 869 0x80000063 0x008C7B 0 172.24.0.0 172.20.3.249 1376 0x8000003D 0x002B4C 0 172.24.32.0 172.20.3.249 1635 0x800002D0 0x0001B6 0 172.24.64.0 172.20.3.249 1376 0x8000003A 0x00D25D 0 172.24.96.0 172.20.3.249 117 0x80000007 0x00D76B 0 172.24.128.0 172.20.3.249 1635 0x80000054 0x00DBF9 0 172.24.160.0 172.20.3.249 117 0x8000015B 0x006944 0 172.24.192.0 172.20.3.249 869 0x8000015A 0x000A84 0 172.25.0.0 172.20.3.249 1376 0x80000231 0x00682C 0 172.25.32.0 172.20.3.249 1126 0x80000678 0x009971 0 172.25.64.0 172.20.3.249 1635 0x8000003A 0x00C668 0 172.25.96.0 172.20.3.249 1894 0x8000005A 0x0025C9 0 172.25.128.0 172.20.3.249 1635 0x8000002A 0x0024DA 0 172.25.224.0 172.20.3.249 1635 0x80000011 0x003285 0 172.26.0.0 172.20.3.249 1126 0x80000678 0x00EE3B 0 172.26.64.0 172.20.3.249 1376 0x80000005 0x00253E 0 172.26.96.0 172.20.3.249 1376 0x80000231 0x0038FA 0 172.26.128.0 172.20.3.249 1126 0x8000067A 0x006542 0 172.26.192.0 172.20.3.249 1635 0x80002BB5 0x00BC4A 0 172.26.224.0 172.20.3.249 869 0x80000028 0x00F7A7 0 172.30.32.0 10.0.3.0 428 0x80001202 0x0091A3 0 172.30.33.0 10.0.3.0 428 0x8000028B 0x002D71 0 OSPF Router with ID (20.0.1.0) (Process ID 200) Router Link States (Area 20.0.1.0) Link ID ADV Router Age Seq# Checksum Link count 20.0.1.0 20.0.1.0 949 0x80000325 0x00F677 1 20.0.1.2 20.0.1.2 1008 0x800002BD 0x00797B 1 Net Link States (Area 20.0.1.0) Link ID ADV Router Age Seq# Checksum 172.20.1.113 20.0.1.2 1012 0x80000261 0x00453F Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 0.0.0.0 20.0.1.2 985 0x80000225 0x0053C1 0 172.20.1.204 20.0.1.0 949 0x80000064 0x00920A 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 29 мая, 2014 · Жалоба ну раз убрали то смысла уже и нету. дайте угадать, ЛСА была а роута не было? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 3 июня, 2014 · Жалоба Что-то с CX на асе все вообще печально. Очень недоработанный продукт. Так и не удалось его заставить не спрашивать аутентификацию для определенных DST, когда в качестве DST используется URL. По IPшнику - запросто, по URL - никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 3 июня, 2014 · Жалоба Что-то с CX на асе все вообще печально. Очень недоработанный продукт. Так и не удалось его заставить не спрашивать аутентификацию для определенных DST, когда в качестве DST используется URL. По IPшнику - запросто, по URL - никак. Буду оч признателен, если по итогу внедрения краткое резюме по этому СХ напишете) А новые продукты у циски нынче все сырые. Они в маркетинге нынче оч сильны. На остальное денег видимо не остается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 3 июня, 2014 (изменено) · Жалоба Что-то с CX на асе все вообще печально. Очень недоработанный продукт. Так и не удалось его заставить не спрашивать аутентификацию для определенных DST, когда в качестве DST используется URL. По IPшнику - запросто, по URL - никак. Буду оч признателен, если по итогу внедрения краткое резюме по этому СХ напишете) А новые продукты у циски нынче все сырые. Они в маркетинге нынче оч сильны. На остальное денег видимо не остается. Не проблема. Дотестирую - напишу. Вот похоже отсутвие возможности выбирать URL в качестве Destination в правилах аутентификации поставило крест на возможности использовать CX в наших условиях... Но недельки 2 ещё на тесте оно у нас по-болтается. Забыл ещё один огромный минус... Отсутствие примитивных регекспов в Адресс сетах. Вместо одной записи вида 10.0.0-31.161 - 10.0.0-31.162 Надо писать 31 вида 10.0.0.161 - 10.0.0.162, 10.0.1.161 - 10.0.1.162 для сети 10/19. А таких сетей у меня тысячи... И (!!!) нельзя это отредактировать в блокноте и вставить в адресс сет поле, не позволяет оно, только по одной ручками забивать. Нет никаких разделителей. Изменено 3 июня, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...