Questione : Aggiunta della sottorete pubblica supplementare su Cisco asa 5510

Stiamo installando un laboratorio di prova d'accesso diretto del ms e siamo praticamente stuck su questo problema: il


We ha generato un'interfaccia del public_DMZ su ethernet0/3 con il primo IP del pubblico nella nostra nuova gamma. Inoltre abbiamo installato un vlan per il DMZ che ho collegato ad uno dei NIC sul problema di server.

Our ora devo ottenere il DMZ (su ethernet0/3) collegarsi al Internet con quei IP del pubblico. Il nostro ISP ci ha fornito questa Info:

Subnet: 85.xx.xx.96/29
Netmask: il
Recommended di 255.255.255.248 GW-richiama: IP address di 85.xx.xx.97
Your nella sottorete: IP di 85.xx.xx.98-102
broadcast nella sottorete 85.xx.xx.103

routed dall'indirizzo del
your del linknet 82.xx.xx.2/30 (che è il dispositivo ethernet0/1) nel linknet: configurazione di 82.xx.xx.4




Our asa: versione 8.0 (4)
del

SA! encrypted
names
del encrypted
passwd 2KFQnbNIdI.2KYOU di TPElrzuRXEajseWy di parola d'accesso del ciscoasa
domain-name nordicsol.local
enable del
hostname! costo 10
del OSPF del
di IP address 82.xxx.95.2 255.255.255.252 del sicurezza-livello 0
del internet
del nameif del
interface Ethernet0/0
! costo 10
del OSPF del
di 192.168.50.5 255.255.255.0 di IP address del sicurezza-livello 100
del inside
del nameif del
interface Ethernet0/1
! costo 10
del OSPF del
di 192.168.100.10 255.255.255.0 di IP address del sicurezza-livello 100
di MID
del nameif dello shutdown
del
interface Ethernet0/2
! costo 10
del OSPF del
di IP address 85.xxx.225.97 255.255.255.248 del sicurezza-livello 50
del public_DMZ
del nameif del
interface Ethernet0/3
! amministrazione-only
di costo 10
del OSPF del
di 192.168.1.1 255.255.255.0 di IP address del sicurezza-livello 100
del management
del nameif del
interface Management0/0
! permesso esteso outside_access_in tcp del any
access-list di 194.6.238.85 esteso outside_access_in ospite del IP del permesso del www
access-list del eq di tcp dell'servizio-oggetto del tcp
dell'servizio-oggetto di servizio DM_INLINE_SERVICE_1
del tcp
object-group dell'protocollo-oggetto del udp
dell'protocollo-oggetto di TCPUDP
di protocollo ospite 82.xxx.95.2
object-group dell'rete-oggetto della rete DM_INLINE_NETWORK_1
di Domain Name nordicsol.local
object-group del
di 192.168.50.100 dell'nome-assistente di DefaultDNS
del assistente-gruppo del management
dns di dominio-occhiata del inside
dns di dominio-occhiata del internet
dns di dominio-occhiata del passive
dns di modo del
ftp qualsiasi permesso esteso outside_access_in tcp del sip
access-list del eq del Internet dell'interfaccia qualsiasi permesso esteso outside_access_in tcp dello smtp
access-list del eq ospite 82.xxx.95.2 qualsiasi permesso esteso outside_access_in tcp del eq 987
access-list ospite 82.xxx.95.2 qualsiasi UDP del permesso esteso outside_access_in del https
access-list del eq ospite 82.xxx.95.2 qualsiasi UDP del permesso esteso outside_access_in del sip
access-list del eq del Internet dell'interfaccia qualsiasi gamma 9000 9015
access-list del oggetto-gruppo DM_INLINE_NETWORK_1 il permesso esteso outside_access_in tcp tutto il UDP del permesso esteso outside_access_in del disable
access-list del ceppo del eq 3478 ospite 82.xxx.95.2 qualunque permesso esteso outside_access_in tcp del any
access-list ospite 85.xxx.249.246 del IP del permesso del disable
access-list del ceppo del eq 3478 ospite 82.xxx.95.2 tutto il permesso esteso outside_access_in tcp del ftp
access-list del eq ospite 82.xxx.95.2 qualunque permesso esteso outside_access_in tcp del eq 4000
access-list ospite 82.xxx.95.2 tutto il permesso esteso outside_access_in tcp del eq 4001
access-list ospite 82.xxx.95.2 qualunque permesso esteso outside_access_in tcp del eq 3389
access-list ospite 82.xxx.95.2 tutto il permesso esteso outside_access_in tcp del eq 4010
access-list ospite 82.xxx.95.2 qualunque permesso esteso outside_access_in tcp del disable
access-list del ceppo del eq 2224 ospite 82.xxx.95.2 tutto il outside_access_in del disable
access-list del ceppo del eq 2222 ospite 82.xxx.95.2 esteso outside_access_in del disable
access-list del ceppo del eq 2221 ospite 82.xxx.95.2 di tcp del permesso qualunque ha esteso il permesso tcp qualsiasi oggetto-gruppo TCPUDP del permesso esteso outside_access_in del eq 4030
access-list ospite 82.xxx.95.2 qualsiasi oggetto-gruppo DM_INLINE_SERVICE_1 del permesso esteso outside_access_in del www
access-list del eq ospite 82.xxx.95.2 tutto il permesso esteso outside_access_in tcp ospite 82.xxx.95.2
access-list qualunque
pager di 192.168.50.0 255.255.255.0 del permesso del
access-list nsvpn_splitTunnelAcl_1 del IP 192.168.50.0 255.255.255.0 192.168.35.192 255.255.255.224 del permesso esteso inside_nat0_outbound del
access-list del IP 192.168.50.0 255.255.255.0 192.168.25.0 255.255.255.0 del permesso esteso inside_nat0_outbound del
access-list di 192.168.50.0 255.255.255.0 del permesso del nsvpn_splitTunnelAcl del eq 2121
access-list ospite 82.xxx.95.2 allinea il Internet 1500
mtu del informational
mtu del asdm del enable
logging di 24
logging all'interno di METÀ DI 1500
mtu stagno locale IP_VPN 192.168.35.201 del public_DMZ 1500
ip dell'amministrazione 1500
mtu di 1500
mtu - il scoppiare-formato inaccessible 1
icmp di tasso-limite 1 del
icmp di 255.255.255.0 della mascherina di 192.168.35.220 rifiuta a tutto il permesso del internet
icmp qualunque public_DMZ
asdm immagine disk0: interface
nat di prespegnimento 14400
nat-control
global (Internet) del enable
arp di storia del asdm di /asdm-615.bin
no (all'interno) 0 accesso-liste inside_nat0_outbound
nat (all'interno)
static (all'interno, Internet) di 255.255.255.255 del netmask del 101 di 0.0.0.0 0.0.0.0 del
static (all'interno, Internet) tcp dell'interfaccia 2224 di 192.168.50.100 2224 del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia 2222 di 192.168.50.100 2222 del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia 2221 di 192.168.50.100 2221 del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia 987 di 192.168.50.104 987 del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia dello smtp 192.168.50.108 dello smtp del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia dei https https di 192.168.50.108
static di 255.255.255.255 del netmask di 192.168.50.170 9004 dell'interfaccia 9004 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9003 dell'interfaccia 9003 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9002 dell'interfaccia 9002 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9001 dell'interfaccia 9001 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9000 dell'interfaccia 9000 del UDP del
static di 255.255.255.255 del netmask della sorsata di 192.168.50.170 della sorsata dell'interfaccia del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask della sorsata di 192.168.50.170 della sorsata dell'interfaccia del UDP del
static di 255.255.255.255 del netmask del ftp del ftp 192.168.50.100 dell'interfaccia di tcp (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) interfaccia del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9013 dell'interfaccia 9013 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9012 dell'interfaccia 9012 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9011 dell'interfaccia 9011 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9010 dell'interfaccia 9010 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9009 dell'interfaccia 9009 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9008 dell'interfaccia 9008 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9007 dell'interfaccia 9007 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9006 dell'interfaccia 9006 del UDP di/>static (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) (all'interno, Internet) 9014
static di 255.255.255.255 del netmask di 192.168.50.163 4030 dell'interfaccia 4030 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.163 4010 dell'interfaccia 4010 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.153 3389 dell'interfaccia 3389 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.163 4001 dell'interfaccia 4001 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.163 4000 dell'interfaccia 4000 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.170 3478 dell'interfaccia 3478 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 3478 dell'interfaccia 3478 del
static (all'interno, Internet) tcp di 255.255.255.255 del netmask di 192.168.50.170 9015 dell'interfaccia 9015 del UDP del
static di 255.255.255.255 del netmask di 192.168.50.170 9014 (all'interno, Internet) (all'interno, Internet) (outside_access_in del Internet e interno) di tcp dell'interfaccia di WWW 192.168.50.163 WWW del netmask di 255.255.255.255 del
static (all'interno, Internet) tcp dell'interfaccia 2121 di 192.168.50.250 2121 del netmask di 255.255.255.255 del
access-group nel 3:00 del xlate di 0.0.0.0 0.0.0.0 82.xxx.95.1 255
timeout del Internet del internet
route dell'interfaccia: 1:00 dei connett. di 00
timeout: 00 0:10 semichiusi: 00 0:02 del UDP: 00 0:00 del ICMP: 0:10 del sunrpc di 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 del mgcp: 00 0:05 del mgcp-picchiettio: 0:30 della sorsata di 00
timeout: 00 0:02 di sip_media: 00 sorseggiare-invitano il 0:03: 00 sorseggiare-staccano il 0:02: 0:02 di sorseggiare-provvisorio-mezzi di 00
timeout: 00 0:05 del uauth: 00 l'assistente del absolute
dynamic-access-policy-record DfltAccessPolicy
http permette al contact
snmp-server dell'SNMP-assistente del location
no dell'SNMP-assistente del internet
no del management
http 88.88.19.156 255.255.255.255 del inside
http 192.168.1.0 255.255.255.0 del internet
http 192.9.2.0 255.255.255.0 del inside
http 195.18.201.1 255.255.255.255 del internet
http 192.168.50.0 255.255.255.0 del internet
http 88.88.72.217 255.255.255.255 di 488
http 193.213.25.215 255.255.255.255 permette alle prese il ipsec del coldstart
crypto che del linkdown della presa di contatto di autenticazione dello SNMP trasformare-ha regolato il ipsec di ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto del specialmente-DES di ESP-DES-SHA trasformare-ha regolato ESP-DES-MD5 il ipsec del specialmente-DES esp-md5-hmac
crypto trasformare-ha regolato il ipsec di ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto trasformare-ha regolato il ipsec di ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto di ESP-AES-256-SHA esp-aes-256 trasformare-ha regolato i esp-aes di ESP-AES-128-SHA il ipsec del esp-sha-hmac
crypto trasformare-ha regolato il ipsec del esp-sha-hmac
crypto di ESP-AES-192-SHA esp-aes-192 trasformare-ha regolato i esp-aes ESP-AES-128-MD5 il ipsec di esp-md5-hmac
crypto trasformare-ha regolato l'sicurezza-associazione del ipsec di secondi 28800
crypto di corso della vita di sicurezza-associazione del ipsec del esp-sha-hmac
crypto di ESP-3DES-SHA esp-3des l'insieme stabilito del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 dei pfs group1
crypto del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 di kilobyti 4608000
crypto di corso della vita trasformare-ha regolato il ipsec-isakmp che stabilito del internet_map 65535 del programma di kilobyti 4608000
crypto di corso della vita di sicurezza-associazione del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 stabiliti di secondi 28800
crypto di corso della vita di sicurezza-associazione del dinamico-programma SYSTEM_DEFAULT_CRYPTO_MAP 65535 di ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto il isakmp dinamico del internet
crypto dell'interfaccia del internet_map del programma di SYSTEM_DEFAULT_CRYPTO_MAP
crypto permette all'indirizzo 192.168.50.120 - il inside
di prespegnimento 0
dhcpd di prespegnimento 50
console del inside
ssh del inside
ssh 192.168.50.0 255.255.255.0 di prespegnimento 5
ssh 192.9.2.0 255.255.255.0 di corso della vita 86400
telnet del gruppo 2
dello sha
del hash di crittografia 3des
del pre-share
di autenticazione di politica 10
del isakmp del internet
crypto dell'interfaccia del inside
dhcpd il dns 213.184.xxx.1 213.184.xxx.2 di 192.168.50.125! indirizzo 192.168.100.150 - interfaccia MID
del
dhcpd di 192.168.100.155 MID
dhcpd dns 213.184.xxx.1 213.184.xxx.2! indirizzo 192.168.1.2 del
dhcpd - il management
dhcpd di 192.168.1.254 permette al management
! le statistiche di base-threat
webvpn
1045
di minaccia-rilevazione di accesso-list
no di statistiche del
threat-detection/>threat-detection permettono all'immagine disk0 del internet
svc: lo zgmiT. /VCzXSBlAW di parola d'accesso di nordicsol del encrypted
username di /wqkW1nOKnhluDsi di parola d'accesso dello sslvpn del nsvpn_splitTunnelAcl
username di valore della spaccare-traforo-rete-lista del tunnelspecified
di spaccare-traforo-politica del webvpn
di IPSec di vpn-traforo-protocollo del
di 192.168.50.100 di valore dell'dns-assistente del attributes
del nsvpn del internal
group-policy del nsvpn del nordicsol
group-policy di valore di stabilizzare-dominio di valore nsvpn_splitTunnelAcl_1
della spaccare-traforo-rete-lista del tunnelspecified
di spaccare-traforo-politica di IPSec
di vpn-traforo-protocollo di valore 192.168.50.xxx
dell'dns-assistente del attributes
del internal
group-policy nsvpn_1 del none
group-policy nsvpn_1 della URL-lista del webvpn
dello svc
di vpn-traforo-protocollo del attributes
di sslvpnpol del internal
group-policy di sslvpnpol del enable
group-policy di /anyconnect-win-2.2.0136-k9.pkg 1
svc ha cifrato il tipo trine pre-ripartire-chiave generale-attributes
tunnel-group di parola d'accesso CK5VMH06/kZU1SAw del rongarlid del encrypted
username di parola d'accesso R1bC0Q4OxNyMP4bt del rolfm del encrypted
username di parola d'accesso yEZR/N9aQxehMtwR di vpn-gruppo-politica nsvpn_1
username del attributes
di nordicsol di privilegio 0
username del ipsec-attributes
del nsvpn di stabilizzare-gruppo-politica nsvpn_1
tunnel-group di IP_VPN
dello richiamare-stagno del nsvpn a distanza-access
di/>tunnel-group *
! stabilizzare-controllo-traffic
del fiammifero del inspection_default
del
class-map!
! il tipo del
policy-map controlla il codice categoria che del global_policy
di massimo 512
policy-map di messaggio-lunghezza del parameters
del preset_dns_map
di dns il inspection_default
controlla il preset_dns_map
di dns controlla h323 h225
controlla h323 il ras
controlla il rsh
controlla il rtsp
controlla lo sqlnet
controlla il
controlla il sunrpc
controlla il xdmcp
controlla il netbios
controlla il tftp
controlla il
della sorsata controlla il ftp
! tipo context
Cryptochecksum del global
mount NS di global_policy del
service-policy del hostname del disable
prompt di condizione del
del ******** di parola d'accesso del james
del username del nordicsol
di dominio del software
della parte del
di 192.168.50.100 dell'assistente del cifs
: 7f819e73fa5f1a1f000a45c3f8f1a97a
: end
class= del

Risposta : Aggiunta della sottorete pubblica supplementare su Cisco asa 5510

Fate permettere a il Nazionale-controllo così anche se state usando i IP address pubblici sugli assistenti di DMZ, voi ancora dovete installare il NAT attraverso la parete refrattaria.

Potete usare l'esenzione di NAT per mantenere gli stessi IP address quando attraversa la parete refrattaria.

la accesso-lista public_dmz_nat0 ha esteso il IP 85.xxx.225.96 255.255.255.248 del permesso affatto
(public_DMZ) 0 accesso-liste nazionale public_dmz_nat0
Altre soluzioni  
 
programming4us programming4us