Question : Ajouter un filet inférieur public additionnel sur Cisco asa 5510

Nous installons un laboratoire d'essai d'accès direct de milliseconde, et nous sommes joli beaucoup stuck sur ce problème : le


We ont créé une interface de public_DMZ sur ethernet0/3 avec le premier IP de public dans notre nouvelle gamme. Nous avons également installé un vlan pour le DMZ que j'ai relié à un des NIC sur le problème de server.

Our doit maintenant obtenir le DMZ (sur ethernet0/3) pour se relier à l'Internet à ces IP de public. Notre ISP nous a fournis cette information :

Subnet : 85.xx.xx.96/29
Netmask : le
Recommended de 255.255.255.248 Gw-adressent : IP address de 85.xx.xx.97
Your dans le filet inférieur : IP de 85.xx.xx.98-102
broadcast dans le filet inférieur 85.xx.xx.103

routed par adresse du
your du linknet 82.xx.xx.2/30 (qui est le dispositif ethernet0/1) dans le linknet : configuration de 82.xx.xx.4




Our asa : version 8.0 (4)
du

SA ! encrypted
names
de l'encrypted
passwd 2KFQnbNIdI.2KYOU de TPElrzuRXEajseWy de mot de passe du ciscoasa
domain-name nordicsol.local
enable du
hostname ! coût 10
d'OSPF du
de l'IP address 82.xxx.95.2 255.255.255.252 du sécurité-niveau 0
de l'internet
de nameif du
interface Ethernet0/0
! coût 10
d'OSPF du
de 192.168.50.5 255.255.255.0 d'IP address du sécurité-niveau 100
de l'inside
de nameif du
interface Ethernet0/1
! coût 10
d'OSPF du
de 192.168.100.10 255.255.255.0 d'IP address du sécurité-niveau 100
de MID
de nameif du shutdown
du
interface Ethernet0/2
! coût 10
d'OSPF du
de l'IP address 85.xxx.225.97 255.255.255.248 du sécurité-niveau 50
du public_DMZ
de nameif du
interface Ethernet0/3
! gestion-only
du coût 10
d'OSPF du
de 192.168.1.1 255.255.255.0 d'IP address du sécurité-niveau 100
du management
de nameif du
interface Management0/0
! laiss prolongée par outside_access_in tcp de l'any
access-list de 194.6.238.85 de centre serveur d'IP de laiss prolongée par outside_access_in du www
access-list d'eq de tcp de service-objet du tcp
de service-objet du service DM_INLINE_SERVICE_1
du tcp
object-group de protocole-objet de l'udp
de protocole-objet de TCPUDP
de protocole du centre serveur 82.xxx.95.2
object-group de réseau-objet du réseau DM_INLINE_NETWORK_1
du Domain Name nordicsol.local
object-group du
de 192.168.50.100 de nom-serveur de DefaultDNS
de serveur-groupe du management
dns de domaine-consultation de l'inside
dns de domaine-consultation de l'internet
dns de domaine-consultation du passive
dns de mode du
ftp toute laiss prolongée par outside_access_in tcp du sip
access-list d'eq d'Internet d'interface toute laiss prolongée par outside_access_in tcp du smtp
access-list d'eq du centre serveur 82.xxx.95.2 toute laiss prolongée par outside_access_in tcp de l'eq 987
access-list du centre serveur 82.xxx.95.2 tout UDP de laiss prolongé par outside_access_in du https
access-list d'eq du centre serveur 82.xxx.95.2 tout UDP de laiss prolongé par outside_access_in du sip
access-list d'eq d'Internet d'interface toute gamme 9000 9015
access-list du l'objet-groupe DM_INLINE_NETWORK_1 la laiss prolongée par outside_access_in tcp n'importe quel UDP de laiss prolongé par outside_access_in du disable
access-list de notation de l'eq 3478 du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp de l'any
access-list du centre serveur 85.xxx.249.246 d'IP de laiss prolongée par outside_access_in du disable
access-list de notation de l'eq 3478 du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp du ftp
access-list d'eq du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp de l'eq 4000
access-list du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp de l'eq 4001
access-list du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp de l'eq 3389
access-list du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp de l'eq 4010
access-list du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp du disable
access-list de notation de l'eq 2224 du centre serveur 82.xxx.95.2 n'importe quel outside_access_in du disable
access-list de notation de l'eq 2222 du centre serveur 82.xxx.95.2 prolongé outside_access_in du disable
access-list de notation de l'eq 2221 du centre serveur 82.xxx.95.2 de tcp de laiss n'importe quel s'est prolongée la laiss tcp n'importe quel objet-groupe TCPUDP de laiss prolongé par outside_access_in de l'eq 4030
access-list du centre serveur 82.xxx.95.2 n'importe quel objet-groupe DM_INLINE_SERVICE_1 de laiss prolongé par outside_access_in du www
access-list d'eq du centre serveur 82.xxx.95.2 n'importe quelle laiss prolongée par outside_access_in tcp du centre serveur 82.xxx.95.2
access-list n'importe quel
pager de 192.168.50.0 255.255.255.0 de laiss du
access-list nsvpn_splitTunnelAcl_1 d'IP 192.168.50.0 255.255.255.0 192.168.35.192 255.255.255.224 de laiss prolongé par inside_nat0_outbound du
access-list d'IP 192.168.50.0 255.255.255.0 192.168.25.0 255.255.255.0 de laiss prolongé par inside_nat0_outbound du
access-list de 192.168.50.0 255.255.255.0 de laiss de nsvpn_splitTunnelAcl de l'eq 2121
access-list du centre serveur 82.xxx.95.2 raye l'Internet de l'informational
mtu d'asdm de l'enable
logging de 24
logging 1500
mtu à l'intérieur de la MI 1500
mtu piscine locale IP_VPN 192.168.35.201 du public_DMZ 1500
ip de la gestion 1500
mtu de 1500
mtu - l'éclater-taille inaccessible 1
icmp de la taux-limite 1 du
icmp de 255.255.255.0 de masque de 192.168.35.220 refusent à n'importe quelle laiss de l'internet
icmp n'importe quel public_DMZ
asdm image disk0 : interface
nat du temps mort 14400
nat-control
global (Internet) de l'enable
arp d'histoire d'asdm de /asdm-615.bin
no (à l'intérieur) 0 accès-listes inside_nat0_outbound
nat (à l'intérieur)
static (à l'intérieur, Internet) de 255.255.255.255 de netmask de 101 de 0.0.0.0 0.0.0.0 du
static (à l'intérieur, Internet) tcp de l'interface 2224 de 192.168.50.100 2224 de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp de l'interface 2222 de 192.168.50.100 2222 de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp de l'interface 2221 de 192.168.50.100 2221 de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp de l'interface 987 de 192.168.50.104 987 de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp d'interface de smtp 192.168.50.108 de smtp de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp d'interface de https https de 192.168.50.108
static de 255.255.255.255 de netmask de 192.168.50.170 9004 de l'interface 9004 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9003 de l'interface 9003 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9002 de l'interface 9002 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9001 de l'interface 9001 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9000 de l'interface 9000 d'UDP du
static de 255.255.255.255 de netmask de sip de 192.168.50.170 de sip d'interface du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de sip de 192.168.50.170 de sip d'interface d'UDP du
static de 255.255.255.255 de netmask de ftp de ftp 192.168.50.100 d'interface de tcp (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) interface d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9013 de l'interface 9013 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9012 de l'interface 9012 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9011 de l'interface 9011 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9010 de l'interface 9010 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9009 de l'interface 9009 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9008 de l'interface 9008 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9007 de l'interface 9007 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9006 de l'interface 9006 d'UDP de/>static (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) (à l'intérieur, Internet) 9014
static de 255.255.255.255 de netmask de 192.168.50.163 4030 de l'interface 4030 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.163 4010 de l'interface 4010 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.153 3389 de l'interface 3389 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.163 4001 de l'interface 4001 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.163 4000 de l'interface 4000 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.170 3478 de l'interface 3478 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 3478 de l'interface 3478 du
static (à l'intérieur, Internet) tcp de 255.255.255.255 de netmask de 192.168.50.170 9015 de l'interface 9015 d'UDP du
static de 255.255.255.255 de netmask de 192.168.50.170 9014 (à l'intérieur, Internet) (à l'intérieur, Internet) (outside_access_in intérieur, d'Internet) de tcp d'interface de WWW 192.168.50.163 WWW de netmask de 255.255.255.255 du
static (à l'intérieur, Internet) tcp de l'interface 2121 de 192.168.50.250 2121 de netmask de 255.255.255.255 du
access-group dans le 3h00 de xlate de 0.0.0.0 0.0.0.0 82.xxx.95.1 255
timeout d'Internet de l'internet
route d'interface : 1h00 de conn. de 00
timeout : 00 0h10 à moitié fermés : 00 0h02 d'UDP : 00 0h00 d'ICMP : 0h10 de sunrpc de 02
timeout : 00 0h05 h323 : 00 1h00 h225 : 00 0h05 de mgcp : 00 0h05 de mgcp-tapotement : 0h30 de sip de 00
timeout : 00 0h02 de sip_media : 00 siroter-invitent le 0h03 : 00 siroter-déconnectent le 0h02 : 0h02 de siroter-temporaire-médias de 00
timeout : 00 0h05 d'uauth : 00 le serveur de l'absolute
dynamic-access-policy-record DfltAccessPolicy
http permettent le contact
snmp-server de SNMP-serveur du location
no de SNMP-serveur de l'internet
no du management
http 88.88.19.156 255.255.255.255 de l'inside
http 192.168.1.0 255.255.255.0 de l'internet
http 192.9.2.0 255.255.255.0 de l'inside
http 195.18.201.1 255.255.255.255 de l'internet
http 192.168.50.0 255.255.255.0 de l'internet
http 88.88.72.217 255.255.255.255 de 488
http 193.213.25.215 255.255.255.255 permettent des pièges que l'ipsec du coldstart
crypto de linkdown de lien d'authentification de SNMP transformer-a placé l'ipsec d'ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto transformer-a placé l'ipsec de l'esp-sha-hmac
crypto d'en particulier-DES d'ESP-DES-SHA transformer-a placé ESP-DES-MD5 l'ipsec d'en particulier-DES esp-md5-hmac
crypto transformer-a placé l'ipsec d'ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto transformer-a placé l'ipsec d'ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto transformer-a placé l'ipsec de l'esp-sha-hmac
crypto d'ESP-AES-256-SHA esp-aes-256 transformer-a placé des esp-aes d'ESP-AES-128-SHA l'ipsec de l'esp-sha-hmac
crypto transformer-a placé l'ipsec de l'esp-sha-hmac
crypto d'ESP-AES-192-SHA esp-aes-192 transformer-a placé les esp-aes ESP-AES-128-MD5 l'ipsec d'esp-md5-hmac
crypto transformer-a placé la sécurité-association d'ipsec des secondes 28800
crypto de vie de sécurité-association d'ipsec de l'esp-sha-hmac
crypto d'ESP-3DES-SHA esp-3des l'ensemble réglé de la dynamique-carte SYSTEM_DEFAULT_CRYPTO_MAP 65535 des pfs group1
crypto de la dynamique-carte SYSTEM_DEFAULT_CRYPTO_MAP 65535 des kilo-octets 4608000
crypto de vie transformer-a placé l'ipsec-isakmp réglé de l'internet_map 65535 de carte des kilo-octets 4608000
crypto de vie de sécurité-association de la dynamique-carte SYSTEM_DEFAULT_CRYPTO_MAP 65535 réglés des secondes 28800
crypto de vie de sécurité-association de la dynamique-carte SYSTEM_DEFAULT_CRYPTO_MAP 65535 d'ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto l'isakmp que dynamique de l'internet
crypto d'interface d'internet_map de carte de SYSTEM_DEFAULT_CRYPTO_MAP
crypto permettent l'adresse 192.168.50.120 - l'inside
du temps mort 0
dhcpd du temps mort 50
console de l'inside
ssh de l'inside
ssh 192.168.50.0 255.255.255.0 du temps mort 5
ssh 192.9.2.0 255.255.255.0 de la vie 86400
telnet du groupe 2
du sha
de gâchis du chiffrage 3des
du pre-share
d'authentification de la politique 10
d'isakmp de l'internet
crypto d'interface de l'inside
dhcpd DNS 213.184.xxx.1 213.184.xxx.2 de 192.168.50.125 ! adresse 192.168.100.150 - interface MID
du
dhcpd de 192.168.100.155 MID
dhcpd DNS 213.184.xxx.1 213.184.xxx.2 ! adresse 192.168.1.2 du
dhcpd - le management
dhcpd de 192.168.1.254 permettent le management
! les statistiques de base-threat
webvpn
1045
de menace-détection du l'accès-list
no de statistiques du
threat-detection/>threat-detection permettent l'image disk0 de l'internet
svc : le zgmiT. /VCzXSBlAW de mot de passe de nordicsol de l'encrypted
username de /wqkW1nOKnhluDsi de mot de passe de sslvpn du nsvpn_splitTunnelAcl
username de valeur de dédoubler-tunnel-réseau-liste du tunnelspecified
de dédoubler-tunnel-politique du webvpn
d'IPSec de vpn-tunnel-protocole du
de 192.168.50.100 de valeur de DNS-serveur de l'attributes
de nsvpn de l'internal
group-policy de nsvpn du nordicsol
group-policy de valeur de transférer-domaine de la valeur nsvpn_splitTunnelAcl_1
de dédoubler-tunnel-réseau-liste du tunnelspecified
de dédoubler-tunnel-politique d'IPSec
de vpn-tunnel-protocole de la valeur 192.168.50.xxx
de DNS-serveur de l'attributes
de l'internal
group-policy nsvpn_1 du none
group-policy nsvpn_1 d'URL-liste du webvpn
du svc
de vpn-tunnel-protocole de l'attributes
de sslvpnpol de l'internal
group-policy de sslvpnpol de l'enable
group-policy de /anyconnect-win-2.2.0136-k9.pkg 1
svc a chiffré le type trine pré-partager-clef générale-attributes
tunnel-group du mot de passe CK5VMH06/kZU1SAw de rongarlid de l'encrypted
username du mot de passe R1bC0Q4OxNyMP4bt de rolfm de l'encrypted
username du mot de passe yEZR/N9aQxehMtwR de la vpn-groupe-politique nsvpn_1
username de l'attributes
de nordicsol du privilège 0
username de l'ipsec-attributes
de nsvpn de la transférer-groupe-politique nsvpn_1
tunnel-group d'IP_VPN
d'adresser-piscine du nsvpn à distance-access
de/>tunnel-group *
! transférer-inspection-traffic
d'allumette de l'inspection_default
du
class-map !
! le type du
policy-map inspectent la classe du global_policy
du maximum 512
policy-map de message-longueur du parameters
du preset_dns_map
de DNS que l'inspection_default
inspectent le preset_dns_map
de DNS inspectent h323 h225
inspectent h323 le ras
inspectent le rsh
inspectent le rtsp
inspectent le sqlnet
inspectent le
inspectent le sunrpc
inspectent le xdmcp
inspectent le netbios
inspectent le tftp
inspectent le
de sip inspectent le ftp
! type context
Cryptochecksum du global
mount NS de global_policy du
service-policy de hostname du disable
prompt de statut du
de ******** de mot de passe du james
d'username du nordicsol
de domaine du software
de part du
de 192.168.50.100 de serveur du cifs
: 7f819e73fa5f1a1f000a45c3f8f1a97a
: end class= de

Réponse : Ajouter un filet inférieur public additionnel sur Cisco asa 5510

Vous faites permettre la National-commande ainsi quoique vous employiez des IP address publics sur les serveurs de DMZ, vous devez toujours installer le NAT par le mur à l'épreuve du feu.

Vous pouvez employer l'exemption de NAT pour garder les mêmes IP address en traversant le mur à l'épreuve du feu.

l'accès-liste public_dmz_nat0 a prolongé IP 85.xxx.225.96 255.255.255.248 de laiss
(public_DMZ) 0 accès-listes nationale public_dmz_nat0