Вопрос : Добавлять дополнительное общественное подсеть на cisco asa 5510

Мы будем созданием лаборатория испытания доступа MS сразу, и мы милые очень stuck на этой проблеме:


We создавало поверхность стыка public_DMZ на ethernet0/3 с первым IP публики в нашем новом ряде. Мы также setup vlan для DMZ я соединял до один из nics на проблеме server.

Our теперь должен получить DMZ (на ethernet0/3) соединиться к интернету с теми ip публики. Наш ISP поставил нас с этим info:

Subnet: 85.xx.xx.96/29
Netmask:
Recommended 255.255.255.248 GW-адресует: IP-addresses 85.xx.xx.97
Your в подсеть: ip 85.xx.xx.98-102
broadcast в подсеть 85.xx.xx.103

routed адресом
your linknet 82.xx.xx.2/30 (будет приспособление ethernet0/1) в linknet: конфигурация 82.xx.xx.4




Our ASA: вариант 8.0

SA (4)
! encrypted
names
encrypted
passwd 2KFQnbNIdI.2KYOU TPElrzuRXEajseWy пароля ciscoasa
domain-name nordicsol.local
enable
hostname! цена 10
ospf
адреса 82.xxx.95.2 255.255.255.252 ip обеспеченност-уровня 0
internet
nameif
interface Ethernet0/0
! цена 10
ospf
192.168.50.5 255.255.255.0 адреса ip обеспеченност-уровня 100
inside
nameif
interface Ethernet0/1
! цена 10
ospf
192.168.100.10 255.255.255.0 адреса ip обеспеченност-уровня 100
MID
nameif shutdown

interface Ethernet0/2
! цена 10
ospf
адреса 85.xxx.225.97 255.255.255.248 ip обеспеченност-уровня 50
public_DMZ
nameif
interface Ethernet0/3
! управление-only
цены 10
ospf
192.168.1.1 255.255.255.0 адреса ip обеспеченност-уровня 100
management
nameif
interface Management0/0
! разрешение удлиненное outside_access_in tcp any
access-list 194.6.238.85 хозяина ip разрешения www
access-list eq tcp обслуживани-предмета tcp
обслуживани-предмета обслуживания DM_INLINE_SERVICE_1
tcp
object-group протокол-предмета udp
протокол-предмета TCPUDP
протокола хозяина 82.xxx.95.2
object-group сет-предмета сети DM_INLINE_NETWORK_1
domain-name nordicsol.local
object-group
192.168.50.100 им-сервера DefaultDNS
сервер-группы management
dns домен-взгляда вверх inside
dns домен-взгляда вверх internet
dns домен-взгляда вверх passive
dns режима
ftp удлиненное outside_access_in любое разрешение удлиненное outside_access_in tcp sip
access-list eq интернета поверхности стыка любое разрешение удлиненное outside_access_in tcp smtp
access-list eq хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp eq 987
access-list хозяина 82.xxx.95.2 любой udp разрешения https
access-list eq хозяина 82.xxx.95.2 удлиненный outside_access_in любой udp разрешения sip
access-list eq интернета поверхности стыка удлиненный outside_access_in любой ряд 9000 9015
access-list предмет-группы DM_INLINE_NETWORK_1 разрешение удлиненное outside_access_in tcp любой udp разрешения disable
access-list журнала eq 3478 хозяина 82.xxx.95.2 удлиненный outside_access_in любое разрешение удлиненное outside_access_in tcp any
access-list хозяина 85.xxx.249.246 ip разрешения disable
access-list журнала eq 3478 хозяина 82.xxx.95.2 удлиненное outside_access_in любое разрешение удлиненное outside_access_in tcp ftp
access-list eq хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp eq 4000
access-list хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp eq 4001
access-list хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp eq 3389
access-list хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp eq 4010
access-list хозяина 82.xxx.95.2 любое разрешение удлиненное outside_access_in tcp disable
access-list журнала eq 2224 хозяина 82.xxx.95.2 любое удлиненное outside_access_in disable
access-list журнала eq 2222 хозяина 82.xxx.95.2 outside_access_in disable
access-list журнала eq 2221 хозяина 82.xxx.95.2 tcp разрешения любому удлинило разрешение tcp любая предмет-группа расширенная outside_access_in разрешения eq 4030
access-list хозяина 82.xxx.95.2 TCPUDP любая предмет-группа расширенная outside_access_in разрешения www
access-list eq хозяина 82.xxx.95.2 DM_INLINE_SERVICE_1 любое разрешение удлиненное outside_access_in tcp хозяина 82.xxx.95.2
access-list любое
access-list ip 192.168.50.0 255.255.255.0 192.168.25.0 255.255.255.0 разрешения
access-list 192.168.50.0 255.255.255.0 разрешения nsvpn_splitTunnelAcl eq 2121
access-list хозяина 82.xxx.95.2 стандартное удлиненное inside_nat0_outbound ip 192.168.50.0 255.255.255.0 192.168.35.192 255.255.255.224
access-list nsvpn_splitTunnelAcl_1 стандартное разрешения 192.168.50.0 255.255.255.0/>pager выравнивает интернет 1500
mtu informational
mtu asdm enable
logging 24
logging внутри бассеина IP_VPN 192.168.35.201 public_DMZ 1500
ip управления 1500
mtu 1500
mtu СРЕДНЕГО 1500
mtu местного - разрывать-размер 1
icmp тариф-предела 1
icmp 255.255.255.0 маски 192.168.35.220 unreachable отказывает любому разрешению internet
icmp любое public_DMZ
asdm изображение disk0: interface
nat перерыва 14400
nat-control
global enable
arp истории asdm /asdm-615.bin
no (интернета) (внутрь) 0 доступ-списков inside_nat0_outbound
nat (внутрь)
static 255.255.255.255 netmask 101 https 192.168.50.108 https поверхности стыка
static 255.255.255.255 netmask smtp smtp 192.168.50.108 поверхности стыка
static 255.255.255.255 netmask 192.168.50.104 987 поверхности стыка 987
static 255.255.255.255 netmask 192.168.50.100 2221 поверхности стыка 2221
static 255.255.255.255 netmask 192.168.50.100 2222 поверхности стыка 2222
static 255.255.255.255 netmask 192.168.50.100 2224 поверхности стыка 2224
static 0.0.0.0 0.0.0.0 (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет)
static 255.255.255.255 netmask 192.168.50.170 9004 поверхности стыка 9004 udp
static 255.255.255.255 netmask 192.168.50.170 9003 поверхности стыка 9003 udp
static 255.255.255.255 netmask 192.168.50.170 9002 поверхности стыка 9002 udp
static 255.255.255.255 netmask 192.168.50.170 9001 поверхности стыка 9001 udp
static 255.255.255.255 netmask 192.168.50.170 9000 поверхности стыка 9000 udp
static 255.255.255.255 netmask глоточка 192.168.50.170 глоточка поверхности стыка
static 255.255.255.255 netmask глоточка 192.168.50.170 глоточка поверхности стыка udp
static 255.255.255.255 netmask ftp ftp 192.168.50.100 поверхности стыка tcp (внутрь, интернет) (внутрь, интернет) tcp (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) поверхность стыка udp
static 255.255.255.255 netmask 192.168.50.170 9013 поверхности стыка 9013 udp
static 255.255.255.255 netmask 192.168.50.170 9012 поверхности стыка 9012 udp
static 255.255.255.255 netmask 192.168.50.170 9011 поверхности стыка 9011 udp
static 255.255.255.255 netmask 192.168.50.170 9010 поверхности стыка 9010 udp
static 255.255.255.255 netmask 192.168.50.170 9009 поверхности стыка 9009 udp
static 255.255.255.255 netmask 192.168.50.170 9008 поверхности стыка 9008 udp
static 255.255.255.255 netmask 192.168.50.170 9007 поверхности стыка 9007 udp
static 255.255.255.255 netmask 192.168.50.170 9006 поверхности стыка 9006 udp/>static (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) (внутрь, интернет) 9014
static 255.255.255.255 netmask 192.168.50.163 4030 поверхности стыка 4030
static 255.255.255.255 netmask 192.168.50.163 4010 поверхности стыка 4010
static 255.255.255.255 netmask 192.168.50.153 3389 поверхности стыка 3389
static 255.255.255.255 netmask 192.168.50.163 4001 поверхности стыка 4001
static 255.255.255.255 netmask 192.168.50.163 4000 поверхности стыка 4000
static 255.255.255.255 netmask 192.168.50.170 3478 поверхности стыка 3478 udp
static 255.255.255.255 netmask 192.168.50.170 3478 поверхности стыка 3478
static 255.255.255.255 netmask 192.168.50.170 9015 поверхности стыка 9015 udp
static 255.255.255.255 netmask 192.168.50.170 9014 (внутрь, интернет) (внутрь, интернет) tcp (внутрь, интернет) (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (внутрь, интернет) tcp (outside_access_in внутренних, интернета) tcp поверхности стыка www 192.168.50.163 www netmask 255.255.255.255
static (внутрь, интернет) tcp поверхности стыка 2121 192.168.50.250 2121 netmask 255.255.255.255
access-group в 3:00 xlate 0.0.0.0 0.0.0.0 82.xxx.95.1 255
timeout интернета internet
route поверхности стыка: 1:00 conn 00
timeout: 00 half-closed 0:10: 00 0:02 udp: 00 0:00 icmp: 0:10 sunrpc 02
timeout: 00 0:05 h323: 00 1:00 h225: 00 0:05 mgcp: 00 mgcp-pat 0:05: 0:30 глоточка 00
timeout: 00 0:02 sip_media: 00 sip-приглашают 0:03: 00 sip-отключают 0:02: 0:02 sip-временный-средств 00
timeout: 00 0:05 uauth: 00 сервер absolute
dynamic-access-policy-record DfltAccessPolicy
http включает contact
snmp-server snmp-сервера location
no snmp-сервера internet
no management
http 88.88.19.156 255.255.255.255 inside
http 192.168.1.0 255.255.255.0 internet
http 192.9.2.0 255.255.255.0 inside
http 195.18.201.1 255.255.255.255 internet
http 192.168.50.0 255.255.255.0 internet
http 88.88.72.217 255.255.255.255 488
http 193.213.25.215 255.255.255.255 включает ловушки ipsec coldstart
crypto, котор linkdown соединения удостоверения подлинности snmp преобразовывать-установило ipsec ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto преобразовывать-установило ipsec esp-sha-hmac
crypto esp-des ESP-DES-SHA преобразовывать-установило ESP-DES-MD5 ipsec esp-des esp-md5-hmac
crypto преобразовывать-установило ipsec ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto преобразовывать-установило ipsec ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto преобразовывать-установило ipsec esp-sha-hmac
crypto ESP-AES-256-SHA esp-aes-256 преобразовывать-установило esp-aes ESP-AES-128-SHA ipsec esp-sha-hmac
crypto преобразовывать-установило ipsec esp-sha-hmac
crypto ESP-AES-192-SHA esp-aes-192 преобразовывать-установило esp-aes ESP-AES-128-MD5 ipsec esp-md5-hmac
crypto преобразовывать-установило обеспеченност-ассоциацию ipsec секунд 28800
crypto продолжительности жизни обеспеченност-ассоциации ipsec esp-sha-hmac
crypto ESP-3DES-SHA esp-3des комплект динамическ-карты SYSTEM_DEFAULT_CRYPTO_MAP 65535 pfs group1
crypto динамическ-карты SYSTEM_DEFAULT_CRYPTO_MAP 65535 килобайт 4608000
crypto продолжительности жизни установленный преобразовывать-установил ipsec-isakmp internet_map 65535 карты килобайт 4608000
crypto продолжительности жизни обеспеченност-ассоциации динамическ-карты SYSTEM_DEFAULT_CRYPTO_MAP 65535 секунд 28800
crypto продолжительности жизни обеспеченност-ассоциации динамическ-карты SYSTEM_DEFAULT_CRYPTO_MAP 65535 ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto установленные установленное динамическое isakmp internet
crypto, котор поверхности стыка internet_map карты SYSTEM_DEFAULT_CRYPTO_MAP
crypto включает адрес 192.168.50.120 перерыва 0
dhcpd перерыва 50
console inside
ssh inside
ssh 192.168.50.0 255.255.255.0 перерыва 5
ssh 192.9.2.0 255.255.255.0 продолжительности жизни 86400
telnet группы 2
sha
хэша шифрования 3des
pre-share
удостоверения подлинности политики 10
isakmp internet
crypto - inside
поверхности стыка inside
dhcpd dns 213.184.xxx.1 213.184.xxx.2 192.168.50.125! адрес 192.168.100.150
dhcpd - поверхность стыка MID
192.168.100.155 MID
dhcpd dns 213.184.xxx.1 213.184.xxx.2! адрес 192.168.1.2
dhcpd - management
dhcpd 192.168.1.254 включает management
! статистик tcp-intercept
webvpn
port 1045
угроз-обнаружения доступа-list
no статистик
threat-detection основные-threat
threat-detection включают изображение disk0 internet
svc: zgmiT. /VCzXSBlAW пароля nordicsol encrypted
username /wqkW1nOKnhluDsi пароля sslvpn nsvpn_splitTunnelAcl
username значения разделять-тоннел-сет-списка tunnelspecified
разделять-тоннел-политики webvpn
IPSec vpn-тоннел-протокола
192.168.50.100 значения dns-сервера attributes
nsvpn internal
group-policy nsvpn nordicsol
group-policy значения не выполнять обязательство-домена значения nsvpn_splitTunnelAcl_1
разделять-тоннел-сет-списка tunnelspecified
разделять-тоннел-политики IPSec
vpn-тоннел-протокола значения 192.168.50.xxx
dns-сервера attributes
internal
group-policy nsvpn_1 none
group-policy nsvpn_1 url-списка webvpn
svc
vpn-тоннел-протокола attributes
sslvpnpol internal
group-policy sslvpnpol enable
group-policy /anyconnect-win-2.2.0136-k9.pkg 1
svc шифровало тип pre-делить-ключа nsvpn encrypted
tunnel-group пароля CK5VMH06/kZU1SAw rongarlid encrypted
username пароля R1bC0Q4OxNyMP4bt rolfm encrypted
username пароля yEZR/N9aQxehMtwR vpn-групп-политики nsvpn_1
username attributes
nordicsol привилегированности 0
username trine ipsec-attributes
nsvpn не выполнять обязательство-групп-политики nsvpn_1
tunnel-group IP_VPN
адресовать-бассеина дистанционного-access
/>tunnel-group *
! не выполнять обязательство-осмотр-traffic
спички inspection_default

class-map!
! тип
policy-map проверяет тип global_policy
максимума 512
policy-map сообщени-длины parameters
preset_dns_map
dns, котор inspection_default
проверяет preset_dns_map
dns проверяет h323 h225
проверяет h323 ras
проверяет rsh
проверяет rtsp
проверяет sqlnet
проверяет тощее
проверяет sunrpc
проверяет xdmcp
проверяет netbios
проверяет tftp
проверяет
глоточка проверяет ftp
! тип context
Cryptochecksum global
mount NS global_policy
service-policy именени ведущего disable
prompt состояния
******** пароля james
username nordicsol
домена software
доли
192.168.50.100 сервера cifs
: 7f819e73fa5f1a1f000a45c3f8f1a97a
: end class=

Ответ : Добавлять дополнительное общественное подсеть на cisco asa 5510

Вам имеете NAT-управление быть позволенным так даже если вы используете адресы IP публики на серверах DMZ, вы все еще нужно setup NAT через брандмауэр.

Вы можете использовать освобождение NAT для того чтобы держать такие же адресы IP траверсируя брандмауэр.

доступ-список public_dmz_nat0 удлинил ip 85.xxx.225.96 255.255.255.248 разрешения нисколько
nat (public_DMZ) 0 доступ-списков public_dmz_nat0