Frage : Hinzufügen eines zusätzlichen allgemeinen Teilnetzes auf Cisco ASA 5510

Wir gründen ein Mitgliedstaat-Direktzugriffstestlaboratorium, und wir sind auf diesem Problem ziemlich genau stuck:


We haben eine public_DMZ Schnittstelle auf ethernet0/3 mit dem ersten Öffentlichkeit IP in unserer neuen Strecke verursacht. Wir haben auch ein vlan für das DMZ gegründet, das ich bis eins der NIC auf dem server.

Our Problem soll jetzt das DMZ erhalten angeschlossen habe (auf ethernet0/3) an das Internet an jene Öffentlichkeits-IP anschließen. Unser ISP stellte uns mit diesem Info zur Verfügung:

Subnet: 85.xx.xx.96/29
Netmask: 255.255.255.248
Recommended GW-adressieren: 85.xx.xx.97
Your IP address im Teilnetze: 85.xx.xx.98-102
broadcast IP im Teilnetze 85.xx.xx.103

routed durch linknet 82.xx.xx.2/30 (das die Vorrichtung ethernet0/1 ist),
your Adresse im linknet: 82.xx.xx.4




Our ASA Konfiguration:

SA Version 8.0 (4)
!
hostname ciscoasa
domain-name nordicsol.local
enable Kennwort TPElrzuRXEajseWy encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif internet
Sicherheitniveau 0
IP address 82.xxx.95.2 255.255.255.252
OSPF-Kosten 10
!
interface Ethernet0/1
nameif inside
Sicherheitniveau 100
IP- address192.168.50.5 255.255.255.0
OSPF-Kosten 10
!
interface Ethernet0/2
shutdown
nameif MID
Sicherheitniveau 100
IP- address192.168.100.10 255.255.255.0
OSPF-Kosten 10
!
interface Ethernet0/3
nameif public_DMZ
Sicherheitniveau 50
IP address 85.xxx.225.97 255.255.255.248
OSPF-Kosten 10
!
interface Management0/0
nameif management
Sicherheitniveau 100
IP- address192.168.1.1 255.255.255.0
OSPF-Kosten 10
Management-only
!
ftp Modus passive
dns Gebietnachschlagen internet
dns Gebietnachschlagen inside
dns Gebietnachschlagen management
dns Bedienergruppe DefaultDNS
Namebediener 192.168.50.100
TCPUDP
Protokoll des Wirtes 82.xxx.95.2
object-group Netzgegenstand Netz DM_INLINE_NETWORK_1
des Domain Name nordicsol.local
object-group Protokollgegenstand udp
Protokollgegenstand tcp
object-group Service DM_INLINE_SERVICE_1
Servicegegenstand tcp
Servicegegenstand TCP eq www
access-list outside_access_in verlängerter Erlaubnis-IP-Wirts-194.6.238.85 any
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Schnittstelleninternet eq sip
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq smtp
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq 987
access-list outside_access_in verlängerter Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq https
access-list outside_access_in verlängertes Erlaubnis-UDP irgendein Schnittstelleninternet eq sip
access-list outside_access_in verlängertes Erlaubnis-UDP irgendeine Gegenstandgruppe DM_INLINE_NETWORK_1 Strecke 9000 9015
access-list outside_access_in verlängerter Erlaubnis-TCP jedes mögliches Wirt 82.xxx.95.2 eq 3478 Maschinenbordbuch disable
access-list outside_access_in verlängerte Erlaubnis-UDP irgendein Wirt 82.xxx.95.2 eq 3478 Maschinenbordbuch disable
access-list outside_access_in verlängerter Erlaubnis-IP-Wirt 85.xxx.249.246 any
access-list outside_access_in verlängerter Erlaubnis-TCP jeder möglicher Wirt 82.xxx.95.2 eq ftp
access-list outside_access_in verlängerte Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq 4000
access-list outside_access_in verlängerter Erlaubnis-TCP jeder möglicher Wirt 82.xxx.95.2 eq 4001
access-list outside_access_in verlängerte Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq 3389
access-list outside_access_in verlängerter Erlaubnis-TCP jeder möglicher Wirt 82.xxx.95.2 eq 4010
access-list outside_access_in verlängerte Erlaubnis-TCP irgendein Wirt 82.xxx.95.2 eq 2224 Maschinenbordbuch disable
access-list outside_access_in verlängerter Erlaubnis-TCP jedes mögliches Wirt 82.xxx.95.2 eq 2222 Maschinenbordbuch disable
access-list outside_access_in, das Erlaubnis-TCP-irgendeinem Wirt 82.xxx.95.2 eq 2221 Maschinenbordbuch disable
access-list outside_access_in verlängert wurde, verlängerte Erlaubnis-TCP irgendeine Wirt 82.xxx.95.2 eq 4030
access-list outside_access_in verlängerte Erlaubnis Gegenstandgruppe TCPUDP irgendeine Wirt 82.xxx.95.2 eq www
access-list outside_access_in verlängerte Erlaubnis Gegenstandgruppe DM_INLINE_SERVICE_1 jeder möglicher verlängerte Erlaubnis-TCP des Wirtes 82.xxx.95.2
access-list outside_access_in irgendein Wirt 82.xxx.95.2 eq 2121
access-list nsvpn_splitTunnelAcl Standarderlaubnis-192.168.50.0 255.255.255.0
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.50.0 255.255.255.0 192.168.25.0 255.255.255.0
access-list inside_nat0_outbound verlängertes Erlaubnis-IP 192.168.50.0 255.255.255.0 192.168.35.192 255.255.255.224
access-list nsvpn_splitTunnelAcl_1 Standarderlaubnis-192.168.50.0 255.255.255.0
pager zeichnet 24
logging enable
logging asdm informational
mtu Internet 1500
mtu innerhalb 1500
mtu der MITTLEREN 1500
mtu Management 1500
mtu public_DMZ 1500
ip lokalen Lache IP_VPN 192.168.35.201 - 192.168.35.220 Schablonen-255.255.255.0
icmp verweigern unerreichbare Ratebegrenzung 1 Berstengröße 1
icmp jeder möglicher internet
icmp Erlaubnis irgendein public_DMZ
asdm Bild disk0: /asdm-615.bin
no asdm Geschichte enable
arp TIMEOUT14400
nat-control
global (Internet) 101 interface
nat (nach innen) 0 Zugangliste inside_nat0_outbound
nat (nach innen) 101 0.0.0.0 0.0.0.0
static (nach innen, Internet) 192.168.50.100 2224 der TCP-Schnittstelle 2224 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.100 2222 der TCP-Schnittstelle 2222 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.100 2221 der TCP-Schnittstelle 2221 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.104 987 der TCP-Schnittstelle 987 netmask 255.255.255.255
static (nach innen, Internet) 255.255.255.255 netmask smtp TCP-Schnittstellensmtp 192.168.50.108
static (nach innen, Internet) TCP-Schnittstelle https 192.168.50.108 https netmask 255.255.255.255
static (nach innen, Internet) 255.255.255.255 netmask ftp TCP-Schnittstellenftp 192.168.50.100
static (nach innen, Internet) UDP-Schnittstellen-Schlückchen-192.168.50.170-Schlückchen netmask 255.255.255.255
static (nach innen, Internet) TCP-Schnittstellen-Schlückchen-192.168.50.170-Schlückchen netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9000 der UDP-Schnittstelle 9000 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9001 der UDP-Schnittstelle 9001 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9002 der UDP-Schnittstelle 9002 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9003 der UDP-Schnittstelle 9003 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9004 der UDP-Schnittstelle 9004 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9005 der UDP-Schnittstelle 9005 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9006 der UDP-Schnittstelle 9006 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9007 der UDP-Schnittstelle 9007 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9008 der UDP-Schnittstelle 9008 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9009 der UDP-Schnittstelle 9009 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9010 der UDP-Schnittstelle 9010 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9011 der UDP-Schnittstelle 9011 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9012 der UDP-Schnittstelle 9012 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9013 der UDP-Schnittstelle 9013 netmask 255.255.255.255
static (nach innen, Internet) UDP-Schnittstelle 9014 192.168.50.170 9014 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 9015 der UDP-Schnittstelle 9015 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 3478 der TCP-Schnittstelle 3478 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.170 3478 der UDP-Schnittstelle 3478 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.163 4000 der TCP-Schnittstelle 4000 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.163 4001 der TCP-Schnittstelle 4001 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.153 3389 der TCP-Schnittstelle 3389 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.163 4010 der TCP-Schnittstelle 4010 netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.163 4030 der TCP-Schnittstelle 4030 netmask 255.255.255.255
static (inneres, Internet-) TCP-Schnittstellen-WWW 192.168.50.163 WWW netmask 255.255.255.255
static (nach innen, Internet) 192.168.50.250 2121 der TCP-Schnittstelle 2121 netmask 255.255.255.255
access-group outside_access_in Schnittstelle internet
route im Internet-0.0.0.0 0.0.0.0 82.xxx.95.1 255
timeout xlate 3:00: 00
timeout Anschl.-1:00: 00 halbgeschlossenes 0:10: 00 UDP-0:02: 00 ICMP-0:00: 02
timeout sunrpc 0:10: 00 0:05 h323: 00 1:00 h225: 00 mgcp 0:05: 00 Mgcpklaps 0:05: 00
timeout Schlückchen-0:30: 00 sip_media 0:02: 00 nippen-laden 0:03 ein: 00 nippen-trennen 0:02: 00
timeout Nippen-provisorischmittel 0:02: 00 uauth 0:05: 00 absolute
dynamic-access-policy-record DfltAccessPolicy
http ermöglichen Bediener 488
http 193.213.25.215 255.255.255.255 internet
http 88.88.72.217 255.255.255.255 internet
http 192.168.50.0 255.255.255.0 inside
http 195.18.201.1 255.255.255.255 internet
http 192.9.2.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 management
http 88.88.19.156 255.255.255.255 internet
no SNMPbediener location
no SNMPbediener contact
snmp-server ermöglichen Fallen, SNMP-Authentisierungsverbindung linkdown coldstart
crypto, das ipsec ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-DES-SHA BesondersdES esp-sha-hmac
crypto ipsec umwandeln-einstellte ESP-DES-MD5 BesondersdES esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec umwandeln-einstellte ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec umwandeln-einstellte ESP-AES-128-SHA esp-aes umwandeln-einstellte, esp-sha-hmac
crypto ipsec ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec umwandeln-einstellte esp-aes ESP-AES-128-MD5 umwandeln-einstellte, esp-md5-hmac
crypto ipsec ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec Sicherheitverbindung Lebenszeitsekunden 28800
crypto ipsec Sicherheitverbindung umwandeln-einstellte Lebenszeitkilobytes 4608000
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 umwandeln-stellte gesetzter pfs group1
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 Satz internet_map 65535 Diagramm der ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 gesetzte Sicherheitverbindung Lebenszeitsekunden 28800
crypto Dynamischdiagramm SYSTEM_DEFAULT_CRYPTO_MAP 65535 gesetztes Sicherheitverbindung Lebenszeitkilobytes 4608000
crypto ipsec-isakmp ein, das dynamisches SYSTEM_DEFAULT_CRYPTO_MAP
crypto Diagramm internet_map Schnittstelle internet
crypto isakmp pre-share
Authentisierung der internet
crypto isakmp Politik 10
sha
Durcheinander der Verschlüsselung 3des
Adresse 192.168.50.120 - 192.168.50.125 inside
dhcpd DNS 213.184.xxx.1 213.184.xxx.2 Schnittstelle inside
des TIMEOUT 0
dhcpd des TIMEOUT 50
console inside
ssh inside
ssh 192.168.50.0 255.255.255.0 TIMEOUT 5
ssh 192.9.2.0 255.255.255.0 der Lebenszeit 86400
telnet der Gruppe 2
ermöglichen!
dhcpd Adresse 192.168.100.150 - 192.168.100.155 MID
dhcpd DNS 213.184.xxx.1 213.184.xxx.2 Schnittstelle MID
!
dhcpd Adresse 192.168.1.2 - 192.168.1.254 management
dhcpd ermöglichen management
!
threat-detection ermöglichen grundlegende-threat
threat-detection Statistiken Zugang-list
no Drohungabfragung Statistiken TCP-intercept
webvpn
Port1045
internet
Organisationsprogrammaufruf-Bild disk0: /anyconnect-win-2.2.0136-k9.pkg 1
Organisationsprogrammaufruf enable
group-policy sslvpnpol internal
group-policy sslvpnpol attributes
Vpn-Tunnelprotokoll svc
webvpn
URLliste none
group-policy nsvpn_1 internal
group-policy nsvpn_1 attributes
DNSbediener Wert 192.168.50.xxx
Vpn-Tunnelprotokoll IPSec
Aufspalten-Tunnelpolitik tunnelspecified
Aufspalten-Tunnel-Netzliste Wert nsvpn_splitTunnelAcl_1
Zurückfallengebiet Wert nordicsol
group-policy nsvpn internal
group-policy nsvpn attributes
DNSbediener Wert-192.168.50.100
Vpn-Tunnelprotokoll IPSec webvpn
Aufspalten-Tunnelpolitik tunnelspecified
Aufspalten-Tunnel-Netzliste Wert nsvpn_splitTunnelAcl
username sslvpn Kennwort-/wqkW1nOKnhluDsi encrypted
username nordicsol Kennwort zgmiT. /VCzXSBlAW verschlüsselte Privileg 0
username nordicsol attributes
Vpn-Gruppepolitik nsvpn_1
username trine Kennwort yEZR/N9aQxehMtwR encrypted
username rolfm Kennwort R1bC0Q4OxNyMP4bt encrypted
username rongarlid Kennwort CK5VMH06/kZU1SAw encrypted
tunnel-group nsvpn Art Fern-access
tunnel-group nsvpn allgemeinen-attributes
Adressierenlache IP_VPN
Zurückfallen-Gruppepolitik nsvpn_1
tunnel-group nsvpn ipsec-attributes
Vor-teilenschlüssel *
!
class-map inspection_default
Gleiches Zurückfallenkontrolle-traffic
!
!
policy-map Art kontrollieren DNS preset_dns_map
parameters
Mitteilunglänge Maximum 512
policy-map global_policy
Kategorie, die inspection_default
DNS preset_dns_map
kontrollieren h323 h225
kontrollieren h323 ras
kontrollieren rsh
kontrollieren rtsp
kontrollieren sqlnet
kontrollieren dünnes
kontrollieren sunrpc
kontrollieren xdmcp
kontrollieren netbios
kontrollieren tftp
kontrollieren Schlückchen
kontrollieren ftp
kontrollieren!
service-policy global_policy global
mount NS Art cifs
Bediener-192.168.50.100
Anteil software
Gebiet nordicsol
username james
Kennwort ********
Status disable
prompt hostname context
Cryptochecksum: 7f819e73fa5f1a1f000a45c3f8f1a97a
: end

Antwort : Hinzufügen eines zusätzlichen allgemeinen Teilnetzes auf Cisco ASA 5510

Sie lassen National-Steuerung so ermöglichen, obwohl Sie allgemeine IP address auf den DMZ Bedienern verwenden, Sie müssen noch NAT durch die Brandmauer gründen.

Sie können NAT-Befreiung verwenden, um die gleichen IP address zu halten, wenn Sie die Brandmauer überqueren.

Zugangliste public_dmz_nat0 verlängerte Erlaubnis-IP 85.xxx.225.96 255.255.255.248 irgendwie
nationale (public_DMZ) 0 Zugangliste public_dmz_nat0