IP público múltiplo ASA da Cisco

Navegue suas respostas
1

Eu tenho um Cisco ASA5510 e artigos relacionados ao ASA e IP público mulitple dizem que isso não pode ser feito. Minha pergunta é como melhor resolver um cenário como este:

Eu tenho 3 zonas, Outside, Inside e DMZ

  • Fora da Internet
  • Dentro de máquinas cliente
  • A DMZ é uma zona para servidores relacionados a serviços externos e internos.

Meu cenário é um pouco mais complexo, mas para simplificar, isso é o que acontece:

Eu quero colocar um servidor Exchange e um servidor web (acessível externamente na zona DMZ)

O servidor da Web usa o TCP80 / 443, o servidor do Exchange usa 443

Então, para o problema: Com o ASA tendo apenas um IP público, como você faria um DNAT para a porta 443 em ambos os hosts internos atrás de 1 IP público? Normalmente, quando eu faço esse tipo de cenário com caixas Linux eu uso alias Interfaces como eth0: 0, eth0: 1 e set 1 IP público em cada um.

Para mim, este deve ser um cenário bem comum, alguma idéia de como resolvê-lo com o ASA?

/ KGDI

    
por KGDI 10.09.2012 / 12:51

3 respostas

2

Primeiro, se você realmente tiver apenas um único IP público, isso não funcionará tentando encaminhar a mesma porta para dois hosts internos.

Se você tiver um intervalo de IPs, talvez seu ISP tenha fornecido uma pequena sub-rede / 29, então você está com sorte. Se eles estão roteando um / 29 para seu ASA, obviamente, como de costume, você só pode configurar um IP na interface externa, mas se estiver recebendo tráfego para esses IPs adicionais, ele pode trabalhar com eles.

(O exemplo abaixo é de um ASA que recebe um IP sobre PPPoE e o ISP encaminha um / 29 para essa interface, mas se, por exemplo, seu uplink for um segmento Ethernet, os ASAs poderão usar proxy ARP).

Como você não deu a versão do ASA OS que está executando, não posso especificar mais, então aqui está um exemplo que usei, que está em 8.2. Isso está permitindo o RDP (porta 3389) em um segundo IP público na mesma sub-rede roteada para o ASA, dois em um segundo host interno (incluí as regras NAT padrão, etc., para que você possa ver a imagem maior). 

! Assume we get assigned the public IP 1.2.3.4, and also in this subnet 
! routed to the ASA is 1.2.3.5
! RDP to 1.2.3.5 goes to 2nd internal host 192.168.0.20.
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group PNDSL
 ip address pppoe setroute 
!
interface Ethernet0/0
 switchport access vlan 2
!
access-list inside_access_in extended permit ip any any 
access-list outside_access_out extended permit ip any any 
access-list rdp_inbound extended permit tcp any interface outside eq 3389 
access-list rdp_inbound_54 extended permit tcp any host 1.2.3.5 eq 3389 log 
!
global (outside) 1 interface
global (outside) 2 1.2.3.5
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.2.3.5 192.168.0.20 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group rdp_inbound_54 in interface outside
access-group outside_access_out out interface outside

Espero que esta seja a configuração correta para você, concentrando-se no 8.4, já que as mudanças que eles introduziram são demais para o meu cérebro simples e o material pré-8.4 está caindo do meu nariz!

    
por 10.09.2012 / 16:53
1

Quem disse que o ASA tem apenas um IP público?

É um firewall, pode aceitar qualquer tráfego que você diga.

IPs diferentes de seu próprio IP externo podem ser NATted para outras interfaces (ou, em vez disso, portas internas podem ser NATted para IPs na interface externa).

É assim que o ASA funciona ; não tem roteamento tradicional, mas tudo acontece através do NAT.

    
por 10.09.2012 / 13:01
1

Isso não é nada fora do comum. É verdade que o dispositivo ASA não pode conter mais de um IP por sub-rede.

No entanto, é prática padrão USAR mais endereços. Você pode configurar o NAT para os IPs não mantidos pelo ASA. Os únicos requisitos são que esses endereços sejam roteados para você pelo seu provedor - eles nem precisam estar na mesma sub-rede que a sua rede de links.

    
por 10.09.2012 / 13:02

Tags

Autenticação integrada do Windows com grupos de membros Subversion all ou nothing access to repo tree