CCIE.pl

site 4 CCIE wannabies
It is currently 18 Jan 2017, 08:58

All times are UTC+01:00




Post new topic  Reply to topic  [ 5 posts ] 
Author Message
 Post subject: Asa8.4(2) gns3
Post #1 Posted: 25 Dec 2016, 23:57 
Offline
fresh
fresh

Joined: 05 May 2016, 20:16
Posts: 8
Witam.

Czy możliwe jest żeby bez ustawiania nata na asie sieć działała.

Poniżej załączam schemat sieci.

Na hoscie(4) ustawiony jest ip 192.168.1.3 i włączony apache z testową stronką. Host ten podpięty jest do interface inside na asie.
Host 209.165.200.226 to host(3) podpięty do interface outside, który przez przeglądarkę łączy się ze strona na hoście(nr 4).


https://postimg.org/image/6ob3wxjsf/

https://postimg.org/image/6t9g0z321/

https://postimg.org/image/8g1euhizr/

Ustawiłem tylko ACL na inteface outside i wszystko ładnie działa czyli host 4 odpala stronę z apacha na hoście 3.

Zdziwiłem się ponieważ myślałem, że trzeba jeszcze ustawić nat na asie aby to działało a tu zdziwienie bo działa bez tego.

Czy to jest normalne czy jednak nie?

Pozdrawiam


Top
   
 Post subject: Re: Asa8.4(2) gns3
Post #2 Posted: 26 Dec 2016, 00:28 
Offline
wannabe
wannabe

Joined: 04 Nov 2006, 16:23
Posts: 3113
Pokaż konfiguracje ASY - całą - to może ktoś Ci odpisze.

_________________
Always start with why do you need this?, not how will we do it?.


Top
   
 Post subject: Re: Asa8.4(2) gns3
Post #3 Posted: 26 Dec 2016, 11:47 
Offline
fresh
fresh

Joined: 05 May 2016, 20:16
Posts: 8
Witam o to running-config:

Code:
ciscoasa(config)# sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet1
 nameif outside
 security-level 0
 ip address 209.165.200.225 255.255.255.248
!
interface GigabitEthernet2
 shutdown
 no nameif
 no security-level
 no ip address
!
<--- More --->
interface GigabitEthernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
access-list out_acl extended permit tcp host 209.165.200.226 host 192.168.1.3 eq www
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
<--- More --->
no asdm history enable
arp timeout 14400
access-group out_acl in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd option 3 ip 209.165.200.225
!
dhcpd address 192.168.1.3-192.168.1.10 inside
dhcpd option 3 ip 192.168.1.2 interface inside
dhcpd enable inside
!
<--- More --->
!
dhcpd address 209.165.200.226-209.165.200.230 outside
dhcpd enable outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
call-home reporting anonymous prompt 2
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:c2d8423c5a5b9587fc46f37a81d5e19b
: end


Top
   
 Post subject: Re: Asa8.4(2) gns3
Post #4 Posted: 27 Dec 2016, 10:31 
Offline
wannabe
wannabe

Joined: 28 Jan 2008, 21:55
Posts: 170
A dlaczego miało by nie działać? Sieci masz jako connected, ACLka jest poprawna, ASA domyślnie w trybie routed. Zakres adresów RFC1918 jest tak samo rutowalny jak każdy inny. U operatora oczywiście by to nie przeszło, ale tylko dlatego, że operator by wyciął prywatę. I tu właśnie potrzebny jest NAT. NAT był również potrzebny przy softach 8.2 i niżej, ze względu na nat-control. Wówczas wszystk omusiało iść przez NAT. Od 8.3 NAT jest konieczny w dwóch wypadkach: 1 - z prywaty do Internetu, 2 - jeśli ASA robi za VPN gateway, jak NAT exclusion. Oczywiście jest mnóstwo innych scenariuszy, gdzie NAT będzie konieczny, ale te dwa to po prostu klasyka.

_________________
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark


Top
   
 Post subject: Re: Asa8.4(2) gns3
Post #5 Posted: 29 Dec 2016, 21:57 
Offline
fresh
fresh

Joined: 05 May 2016, 20:16
Posts: 8
Dzięki za odpowiedź. Już kumam o co chodzi symulator to jednak nie rzeczywistość i w tym przypadku obejdzie się bez NATa.

Tak sobie pomału czytam i się uczę wszystkiego co związane z sieciami, a szczególnie z firmy z Golden Gate w znaku firmowym. Już stworzyłem nową topologię i będę miał kilka pytań ale to już w następnym poście. Liczę na waszą pomoc.

Pozdrawiam.


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 5 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited