Vraag : Het toevoegen van extra openbare subnet op cisco asa 5510

Wij zijn vestiging een Laboratorium van de Test van de Directe Toegang van lidstaten, en wij zijn vrij veel geplakt op dit probleem:


We heeft tot een public_DMZinterface op ethernet0/3 met eerste openbare IP in ons nieuw gamma geleid. Wij hebben ook opstelling vlan want DMZ die ik met één van nics op het probleem server.

Our nu heb verbonden DMZ (op ethernet0/3) moet ertoe brengen om met Internet met die openbare ip te verbinden. Onze ISP voorzag ons van deze info:

Subnet: 85.xx.xx.96/29
Netmask: 255.255.255.248
Recommended: iP-Adressen 85.xx.xx.97
Your in subnet: 85.xx.xx.98-102
broadcast ip in subnet 85.xx.xx.103

routed door linknet 82.xx.xx.2/30 (die het ethernet0/1 apparaten) adres
your in linknet is: 82.xx.xx.4




Our ASA Configuratie:

SA Versie 8.0 (4)
!
hostname ciscoasa
domain-name nordicsol.local
enable wachtwoord TPElrzuRXEajseWy encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
! /> nameif internet
veiligheid-niveau
interface Ethernet0/0
ip het adres 82.xxx.95.2 255.255.255.252
ospf kostte 10
!
interface Ethernet0/1
nameif inside
veiligheid-niveau 100
ip het adres 192.168.50.5 255.255.255.0
ospf kostte 10
!
interface Ethernet0/2
shutdown
nameif MID
veiligheid-niveau 100
ip het adres 192.168.100.10 255.255.255.0
ospf kostte 10
!
interface Ethernet0/3
nameif public_DMZ
veiligheid-niveau 50
ip het adres 85.xxx.225.97 255.255.255.248
ospf kostte 10
!
interface Management0/0
nameif management
veiligheid-niveau 100
ip het adres 192.168.1.1 255.255.255.0
ospf kostte 10
beheer -beheer-only
!
ftp wijze passive
dns internet
dns inside
dns management
dns de naam-server van DefaultDNS
192.168.50.100
domein-naam nordicsol.local
object-group netwerkDM_INLINE_NETWORK_1
van het netwerk-voorwerp het protocol-voorwerp van TCPUDP
object-group/> udp
protocol-voorwerp tcp
object-group de dienstDM_INLINE_SERVICE_1
van de dienst-voorwerp tcp
dienst-voorwerp ip TCP eq www
access-list gastheer194.6.238.85 any
access-list outside_access_in uitgebreid vergunningsTCP om het even welk interfaceInternet eq sip
access-list outside_access_in uitgebreid vergunningsTCP om het even welk TCP van de gastheer82.xxx.95.2 eq smtp
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreid vergunning 987
access-list om het even welke gastheer82.xxx.95.2 eq https
access-list udp om het even welke interfaceInternet eq sip
access-list udp om het even welk voorwerp-groep DM_INLINE_NETWORK_1 gamma 9000/>access-list 9015
access-list udp om het even welke gastheer 82.xxx.95.2 eq outside_access_in uitgebreid vergunning 3478 ip van de logboek disable
access-list TCP van de gastheer85.xxx.249.246 any
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq ftp
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreid vergunning 4000
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreid vergunning 4001
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreid vergunning 3389
access-list om het even welk TCP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreid vergunning 4010
access-list om het even welke gastheer 82.xxx.95.2 eq 2224 disable
access-list outside_access_in uitgebreid vergunningsTCP registreer om het even welke gastheer 82.xxx.95.2 eq 2222 disable
access-list outside_access_in uitgebreid vergunningsTCP registreer om het even welke gastheer 82.xxx.95.2 eq 2221 disable
access-list outside_access_in registreer laat TCP om het even welke voorwerp-groep TCPUDP van de gastheer82.xxx.95.2 eq outside_access_in uitgebreide vergunning 4030
access-list om het even welke toe voorwerp-groep DM_INLINE_SERVICE_1 van de gastheer82.xxx.95.2 eq www
access-list om het even welk TCP van de gastheer82.xxx.95.2
access-list om het even welke gastheer82.xxx.95.2 eq/>access-list 2121
access-list inside_nat0_outbound uitgebreide vergunningsip 192.168.50.0 255.255.255.0 192.168.25.0 255.255.255.0
access-list inside_nat0_outbound uitgebreide vergunningsip 192.168.50.0 255.255.255.0 192.168.35.192 255.255.255.224
access-list nsvpn_splitTunnelAcl_1 standaardvergunnings192.168.50.0 255.255.255.0
pager lijnen 24
logging enable
logging asdm informational
mtu Internet 1500
mtu binnen 1500
mtu MEDIO 1500
mtu beheers1500
mtu public_DMZ 1500
ip lokale pool IP_VPN 192.168.35.201 - 192.168.35.220 masker255.255.255.0
icmp ontzegt de onbereikbare tarief-grens 1 uitbarsting-grootte 1
icmp om het even welke internet
icmp- vergunning om het even welke public_DMZ
asdm beeld disk0: /asdm-615.bin
no asdm geschiedenis enable
arp onderbreking 14400
nat-control
global (Internet) 101 interface
nat (binnen) 0 toegang-lijst inside_nat0_outbound
nat (binnen) 101 0.0.0.0 0.0.0.0
static (binnen, Internet) TCPinterface 2224 192.168.50.100 2224 netmask255.255.255.255
static (binnen, Internet) TCPinterface 2222 192.168.50.100 2222 netmask255.255.255.255
static (binnen, Internet) TCPinterface 2221 192.168.50.100 2221 netmask255.255.255.255
static (binnen, Internet) TCPinterface 987 192.168.50.104 987 netmask255.255.255.255
static (binnen, Internet) 192.168.50.108 smtp netmask 255.255.255.255
static (binnen, Internet) TCPinterface https 192.168.50.108 https netmask 255.255.255.255
static (binnen, Internet) van FTP192.168.50.100 FTP netmask 255.255.255.255
static (binnen, Internet) udp slokje netmask 255.255.255.255
static (binnen, Internet) het slokje192.168.50.170 van de TCPinterface slokje netmask 255.255.255.255
static 9000 192.168.50.170 9000 netmask255.255.255.255
static 9001 192.168.50.170 9001 netmask255.255.255.255
static 9002 192.168.50.170 9002 netmask255.255.255.255
static 9003 192.168.50.170 9003 netmask255.255.255.255
static 9004 192.168.50.170 9004 netmask255.255.255.255
static 9005 192.168.50.170 9005 netmask 255.255.255.255
static (binnen, Internet) udp interface 9006 192.168.50.170 9006 netmask255.255.255.255
static 9007 192.168.50.170 9007 netmask255.255.255.255
static 9008 192.168.50.170 9008 netmask255.255.255.255
static 9009 192.168.50.170 9009 netmask255.255.255.255
static 9010 192.168.50.170 9010 netmask255.255.255.255
static 9011 192.168.50.170 9011 netmask255.255.255.255
static 9012 192.168.50.170 9012 netmask255.255.255.255
static 9013 192.168.50.170 9013 netmask255.255.255.255
static 9014 192.168.50.170 9014 netmask255.255.255.255
static 9015 192.168.50.170 9015 netmask255.255.255.255
static (binnen, Internet) TCPinterface 3478 192.168.50.170 3478 netmask255.255.255.255
static 3478 192.168.50.170 3478 netmask255.255.255.255
static (binnen, Internet) TCPinterface 4000 192.168.50.163 4000 netmask255.255.255.255
static (binnen, Internet) TCPinterface 4001 192.168.50.163 4001 netmask255.255.255.255
static (binnen, Internet) TCPinterface 3389 192.168.50.153 3389 netmask255.255.255.255
static (binnen, Internet) TCPinterface 4010 192.168.50.163 4010 netmask255.255.255.255
static (binnen, Internet) TCPinterface 4030 192.168.50.163 4030 netmask 255.255.255.255
static (van de binnen, Internet) TCPinterface www 192.168.50.163 www netmask 255.255.255.255
static (binnen, Internet) TCPinterface 2121 192.168.50.250 2121 netmask 255.255.255.255
access-group outside_access_in in interface internet
route Internet 0.0.0.0 0.0.0.0 82.xxx.95.1 xlate 3:00 255
timeout: conn 1:00 00
timeout: 00 half-closed 0:10: 00 udp0:02: 00 icmp0:00: sunrpc 0:10 02
timeout: 00 h323 0:05: 00 h225 1:00: 00 mgcp0:05: 00 mgcp-klopje0:05: 00
timeout slokje0:30: 00 sip_media0:02: 00 slokje-nodigen 0:03 uit: 00 slokje-maken 0:02 los: slokje-voorlopig-middelen 00
timeout 0:02: 00 uauth0:05: 00 laat de absolute
dynamic-access-policy-record DfltAccessPolicy
http server 488
http 193.213.25.215 255.255.255.255 internet
http 88.88.72.217 255.255.255.255 internet
http 192.168.50.0 255.255.255.0 inside
http 195.18.201.1 255.255.255.255 internet
http 192.9.2.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 management
http 88.88.19.156 255.255.255.255 internet
no SNMP-server location
no SNMP-server contact
snmp-server toelaat toe van de de authentificatieverbinding van vallenSNMP van het security-associationleven linkdown coldstart
crypto ipsec in het bijzonder -in het bijzonder-md5-hmac
crypto ipsec transformatie-vastgestelde in het bijzonder-des-SHA in het bijzonder -in het bijzonder-des in het bijzonder -in het bijzonder-sha-hmac
crypto ipsec transformatie-vastgestelde in het bijzonder-des-MD5 in het bijzonder -in het bijzonder-des in het bijzonder -in het bijzonder-md5-hmac
crypto ipsec transformatie-vastgestelde in het bijzonder-aes-192-MD5 in het bijzonder-aes-192 in het bijzonder -in het bijzonder-md5-hmac
crypto ipsec transformatie-vastgestelde in het bijzonder-3des-MD5 in het bijzonder-3des in het bijzonder -in het bijzonder-md5-hmac
crypto ipsec transformatie-vastgestelde ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec de seconden28800
crypto de dynamisch-kaart/>crypto SYSTEM_DEFAULT_CRYPTO_MAP 65535 reeks pfs group1
crypto dynamisch-kaart van levenkilobytes 4608000
crypto dynamisch-kaart SYSTEM_DEFAULT_CRYPTO_MAP 65535 de vastgestelde van veiligheid-vereniging dynamisch-kaart/>crypto SYSTEM_DEFAULT_CRYPTO_MAP 65535 de vastgestelde van veiligheid-vereniging kaart levenseconden 28800
crypto internet_map 65535 de kaart internet_map interface internet
crypto levenkilobytes 4608000
crypto isakmp laat internet
crypto isakmp van de de encryptie3des
knoeiboel van de beleids10
authentificatie pre-share van het de groeps2
leven 86400
van de de onderbrekings5
ssh 192.9.2.0 255.255.255.0 inside
ssh 192.168.50.0 255.255.255.0 inside
ssh onderbreking/>telnet de onderbrekings0
dhcpd adres 192.168.50.120 50
console toe - 192.168.50.125 inside
dhcpd dns 213.184.xxx.1 213.184.xxx.2 interface inside
!
dhcpd adres 192.168.100.150 - 192.168.100.155 MID
dhcpd dns 213.184.xxx.1 213.184.xxx.2 interface MID
!
dhcpd adres 192.168.1.2 - 192.168.1.254 management
dhcpd laat management
toe!
threat-detection de basis-basis-threat
threat-detection- statistieken/>no van bedreiging-opsporing tot de haven/>webvpn
1045
toegang-list svc beeld disk0 toe: />g 1
svc /anyconnect-winnen-2.2.0136-k9.pkgroup-policy van het de dns-server/>group-policy nsvpn_1 internal
group-policy nsvpn_1 van de het vpn-tunnel-protocol svc
webvpn
url-lijst van sslvpnpol internal
group-policy attributes
none
het spleet-tunnel-beleid van IPSec
vpn-tunnel-protocol/> tunnelspecified
spleet-tunnel-netwerk-lijst waardensvpn_splitTunnelAcl_1
gebrek-domein waarde nordicsol
dns-server/>group-policy nsvpn internal
group-policy waarde192.168.50.100
van het het spleet-tunnel-beleid van vpn-tunnel-protocolIPSec webvpn
tunnelspecified
spleet-tunnel-netwerk-lijst /wqkW1nOKnhluDsi waarde nsvpn_splitTunnelAcl
username encrypted
username van het voorrecht0
username nordicsol van het nordicsolwachtwoord zgmiT. /VCzXSBlAW gecodeerde van het het vpn-groep-beleidsnsvpn_1
username trine wachtwoord attributes
het type/>tunnel-group van het wachtwoordR1bC0Q4OxNyMP4bt encrypted
username rongarlid wachtwoord yEZR/N9aQxehMtwR encrypted
username rolfm CK5VMH06/kZU1SAw encrypted
tunnel-group nsvpn het algemeen-attributes adres-pool het gebrek-groep-beleid nsvpn_1
nsvpn ipsec-attributes
pre-delen-sleutel/>tunnel-group *
!
class-map inspection_default
gelijke gebrek-inspectie/>
!
! het type
policy-map inspecteert dns preset_dns_map
parameters
bericht-lengte de maximum512
policy-map global_policy
klasse inspection_default
dns preset_dns_map
inspecteert h323 h225
inspecteert h323 ras
inspecteert rsh
inspecteert rtsp
inspecteert sqlnet
inspecteert magere
inspecteert sunrpc
inspecteert xdmcp
inspecteert netbios
inspecteert tftp
inspecteert slokje
inspecteert ftp
inspecteert!
service-policy global_policy global
mount NS type cifs
server192.168.50.100
de status
disable
prompt hostname context
Cryptochecksum van het de gebruikersbenamings james
wachtwoord van het aandeel software
domein nordicsol
********: 7f819e73fa5f1a1f000a45c3f8f1a97a
: end

Antwoord : Het toevoegen van extra openbare subnet op cisco asa 5510

U hebt zo toegelaten nationaal-Controle alhoewel u openbare IP adressen op de servers gebruikt DMZ, hebt u nog aan opstelling NATIONAAL door de Firewall nodig.

U kunt NATIONAAL vrijstelling gebruiken om de zelfde IP adressen te houden wanneer het oversteken van de Firewall.

toegang-lijst public_dmz_nat0 uitgebreide vergunning ip 85.xxx.225.96 255.255.255.248 om het even welk
nationaal (public_DMZ) 0 toegang-lijst public_dmz_nat0
Andere oplossingen  
 
programming4us programming4us