форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"inside/outside интерфейсы на ASA 5510"		+/–
Сообщение от Potemkin on 09-Май-09, 18:26
Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле при наличии необходимого функционала). На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему в тех.сеть - inside, с наивысшим уровнем защиты 100. Параллельно есть желание использовать ASA в качестве FW для другой сети - для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 в том решении, на котором остановился - а это ASA5510-BUN-K9 - на борту 5 портов FE, да и бабло надо отбивать. Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По логике порт 1 для сети удаленного офиса должен быть inside, либо с каким то др.уровнем доступа, а порт 3 по отношению к порту 1 - outside. Порт 3 по отношению к порту 2 - inside. Так вот вопрос, как сделать и возможно ли это чтобы 1 порт был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой сети. Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в моем случае это единственное решение. Если да, то остается выяснить входит ли она в комплектацию ASA5510-BUN-K9.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "inside/outside интерфейсы на ASA 5510"		+/–
Сообщение от Eduard_k (??) on 09-Май-09, 20:41
>[оверквотинг удален] >- inside. >Так вот вопрос, как сделать и возможно ли это чтобы 1 порт >был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой >сети. > >Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за >отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет >одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в >моем случае это единственное решение. Если да, то остается выяснить входит >ли она в комплектацию ASA5510-BUN-K9. В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные сомненья, что Security Context вам не нужен. Вы как-то заморочились с названиями интерфейсов, а они не важны. Основной принцип - с большего security level на меньший по умолчанию все разрешено, в обратную сторону закрыто. Один и тот же интерфейс может быть доверенным по отношению к одному и недоверенным по отношению к другому сегменту. Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "inside/outside интерфейсы на ASA 5510"		+/–
	Сообщение от Potemkin on 11-Май-09, 19:32
	>В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные >сомненья, что Security Context вам не нужен. Вы как-то заморочились с >названиями интерфейсов, а они не важны. Основной принцип - с большего >security level на меньший по умолчанию все разрешено, в обратную сторону >закрыто. Один и тот же интерфейс может быть доверенным по отношению >к одному и недоверенным по отношению к другому сегменту. >Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски. Как раз это то я и читалс уже. Все просто да непонятно, можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен для пары других интерфейсов, которые между собой имели точно такой же уровни безопасности - 0 и 100, либо придется один из них делать DMZ. Но у DMZ как я понял др. идеология и назначение. Поэтому и зинтересовала функция виртуальных FW
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "inside/outside интерфейсы на ASA 5510"		+/–
	Сообщение от Eduard_k (??) on 11-Май-09, 23:06
	>[оверквотинг удален] >>к одному и недоверенным по отношению к другому сегменту. >>Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски. > >Как раз это то я и читалс уже. Все просто да непонятно, >можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен >для пары других интерфейсов, которые между собой имели точно такой же >уровни безопасности - 0 и 100, либо придется один из них >делать DMZ. Но у DMZ как я понял др. идеология и >назначение. >Поэтому и зинтересовала функция виртуальных FW Security level 0 и 100 зарезервированы за интерфейсами inside и outside, это унаследовано от пиксов. вам же никто не мешает вообще их не использовать.Например создаете две пары интерфейсов - inside1, outside1 и inside2 и outside2  с Security level на обоих inside-ах 99, outside-ах 1. Названия интерфейсов никак не влияют на то, каким образом будет обрабатываться трафик, называйте их хоть siska и piska. а затем списками доступа запрещаете ненужный трафик, например с inside1 на outside2 и с inside2 на outside1.При данной схеме городить security контексты имеет смысл, только если у вас должно быть два разных маршрута по умолчанию например для трафика с inside1 дефолт смотрит на outside1, а с inside2 на outside2. Насколько я понял вашу задачу, тут можно обойтись статическим либо динамическим роутингом, использование Security Context излишне.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "inside/outside интерфейсы на ASA 5510"		+/–
	Сообщение от Potemkin on 13-Май-09, 07:53
	>а затем списками доступа >запрещаете ненужный трафик, например с inside1 на outside2 и с inside2 >на outside1. я так понимаю речь об виртуальных интерфейсах, поскольку физических не напасешься... >При данной схеме городить security контексты имеет смысл, только если >у вас должно быть два разных маршрута по умолчанию например для >трафика с inside1 дефолт смотрит на outside1, а с inside2 на >outside2. собственно практически да. Насколько я понял вашу задачу, тут можно обойтись статическим либо >динамическим роутингом, использование Security Context излишне. только FW не роутер. а нужно именно "глубокая" изоляция сетей
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "inside/outside интерфейсы на ASA 5510"		+/–
Сообщение от anonymous (??) on 12-Май-09, 11:54
>На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему >в тех.сеть - inside, с наивысшим уровнем защиты 100. >Параллельно есть желание использовать ASA в качестве FW для другой сети - >для доступа в корп.сеть из сети удаленного офиса. не забудьте только, что без security plus доступно только 3 VLAN (и то в урезанном виде).  Но для Вашей задачи и этого может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "inside/outside интерфейсы на ASA 5510"		+/–
	Сообщение от Eduard_k (??) on 12-Май-09, 12:07
	>>На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему >>в тех.сеть - inside, с наивысшим уровнем защиты 100. >>Параллельно есть желание использовать ASA в качестве FW для другой сети - >>для доступа в корп.сеть из сети удаленного офиса. > >не забудьте только, что без security plus доступно только 3 VLAN (и >то в урезанном виде).  Но для Вашей задачи и этого >может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... Не, вы спутали с 5505. В 5510 50 виланов доступно, смотрите даташит. http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps... Да и интерфейсы L3 , адреса можно сразу на них назначать без всяких vlan.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]