Toon posts:

[Cisco ASA 5520] Static NAT

Pagina: 1
Acties:

donderdag 30 juni 2011 11:33

Acties:
  • 0Henk 'm!

Anoniem: 410801

Topicstarter
Hey all,

Dit is de situatie:


Ik heb een netwerk met 2 lans, en 2DMZ. De bedoeling is dat er een 3e DMZ bij komt. De PC's die hierin komen te hangen, krijgen elk een public IP(ik heb m nu als IP 10.2.0.x aangegeven, als voorbeeld)

Nu is het voorheen geregeld, dat op elke interface op de firewall, een Cisco ASA 5520 een netwerk binnen komt. Dus 1 interface voor de ip range van DMZ 1, 1 interface voor de ip range van Lan2, en die worden met behulp van access rules doorgeschakeld.
Nu heb ik dadelijk, met een 3e DMZ, meer netwerk ranges, als dat ik interfaces heb.

Nu heb ik wat research gedaan, en nu zou dit moeten kunnen met static nat?

Is het dan gewoon een kwestie van een regel in mijn config aanmaken:
static (inside,outside) Public IP Lokaal IP netmask 255.255.255.255

Wat komt er verder nog bij kijken?

donderdag 30 juni 2011 11:58

Acties:
  • 0Henk 'm!
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Je kan een gigabit 2960S switch achter de ASA plaatsen.
Vanuit de ASA ga je met een 802.1Q VLAN trunk naar de switch. Je hebt het dan op L2 niveau gescheiden.

Er is ook een module voor de ASA waarmee je 4 extra gigabit interfaces krijgt.
(De SSM-4GE= Je kan dan kiezen of je de RJ45 poort gebruikt voor UTP of de SFP poort voor glas.)
Maar deze module kost 5000,- Dollar list en daar heb je een redelijke L3 3560 gigabit switch voor.

~ Voordelig Leren Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 30 juni 2011 12:22

Acties:
  • 0Henk 'm!
  • DrFlash
  • Registratie: Juli 2009
  • Laatst online: 18-04 23:13

DrFlash

Ik heb dit zelf met een Switch en subinterfaces (vlans) opgelost aan de asa kant, vanuit de switch poorten hard op vlan X zetten welke overeen komt met de subinterface vlan van dat DMZ.

dit is gedaan op een 5520 waarbij ik zelfs maar 2 poorten beschikbaar heb, de andere 2 zijn in gebruik voor HA.

Wowhead profiel

donderdag 30 juni 2011 12:25

Acties:
  • 0Henk 'm!

Anoniem: 187361

Afhankelijk van de benodigde throughput en je huidige switches, zou ik je adviseren om tussen je ASA en je core / distributie switch een dot1q trunk te maken. I.p.v. voor elk netwerk een fysieke interfaces te gebruiken, maak je voor al je interne netwerken dan gebruik van een fysieke interface met voor elk VLAN een subinterface.

Hoe heb je je huidige DMZ's ingeregeld? En hoe komt het "internet" nu binnen op je firewall? Je kunt 9/10 keer prima met statische NAT entry's werken, dit zou je zelfs op poortniveau kunnen doen. Is even afhankelijk hoe de rest van je netwerk ingeregeld is en hoeveel publieke adressen je hebt :).

vrijdag 1 juli 2011 10:39

Acties:
  • 0Henk 'm!

Anoniem: 410801

Topicstarter
Ik heb een Cisco 3560 tussen mn asa en de public servers, hierop zijn private vlans gedefinieerd, welke elkaar dus niet kunnen zien. Hier kan internet naartoe, niet terug.
PAT is geen goed idee, dit is in het verleden al eens gebleken dat de andere users hier moeite mee hebben. Op deze DMZ komen VM's die vanaf het internet bereikbaar moeten zijn. Dit zijn buildservers waarop dus software getest word. De gebruikers kunnen vaak niet duidelijk aangeven, welke poorten precies gebruikt worden.


Edit. Ik bedenk me dat we eerst de ASA verbonden hadden met een CIsco 3560, die vlan routering aan kan. Hierop hadden we de VLANS intern gedefinieerd. Voor elk public IP hadden we een vlan, en deze werd via NAT naar buiten toe gebracht.
Het ging hier uiteindelijk om ongeveer 30 vlans. Het resultaat na deze implementatie was dat de throughput op de firewall terug zakte naar 5KB/s! Oftewel: het hele netwerk had ineens geen internet meer. De oorzaak hiervan durf ik niet te zeggen, het enige wat we toen hebben gedaan is private vlans implementeren.

[Voor 34% gewijzigd door Anoniem: 410801 op 01-07-2011 10:56. Reden: Toevoeging]

vrijdag 1 juli 2011 11:03

Acties:
  • 0Henk 'm!
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Anoniem: 410801 schreef op vrijdag 01 juli 2011 @ 10:39:
Edit. Ik bedenk me dat we eerst de ASA verbonden hadden met een CIsco 3560, die vlan routering aan kan. Hierop hadden we de VLANS intern gedefinieerd. Voor elk public IP hadden we een vlan, en deze werd via NAT naar buiten toe gebracht.
Het ging hier uiteindelijk om ongeveer 30 vlans. Het resultaat na deze implementatie was dat de throughput op de firewall terug zakte naar 5KB/s! Oftewel: het hele netwerk had ineens geen internet meer. De oorzaak hiervan durf ik niet te zeggen, het enige wat we toen hebben gedaan is private vlans implementeren.
Voor dit geval zou je een TAC case kunnen aanmaken,
om de oorzaak te achterhalen van de performance-drop.

~ Voordelig Leren Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee