CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Kierowanie ruchu do FWSM

https://ccie.pl/viewtopic.php?f=44&t=13291

Strona 1 z 1

Kierowanie ruchu do FWSM

: 17 gru 2010, 14:42
autor: double.decode
Mam 6500, do switcha wpięci są klienci (powiedzmy 10.0.0.0/16), serwery i uplink do urządzeń brzegowych i dalej w świat. Zaraz dołożę do pudełka FWSM, i chciałbym zabezpieczyć za jego pomocą ruch pomiędzy klientami i serwerami oraz serwerami i internetem (ruch pomiędzy klientami i internetem będzie przechodził bezpośrednio). Czy jedynym sposobem żeby to zrealizować jest PBR, czy też mogę jakoś inaczej? Miałem pomysł z interfejsami SVI na MSFC, ale wtedy MSFC będzie przełączał ruch bezpośrednio, bez użycia FWSM. Wszelkie pomysły mile widziane, na razie muszę sobie poukładać w głowie jak to zrobić i na bieżąco przetestować w labie :)
Czy mając dwa konteksty na FWSM mogę jeden z nich skonfigurować jako routed a drugi transparent (IMHO tak, ale jeszcze nie próbowałem)?

Re: Kierowanie ruchu do FWSM

: 17 gru 2010, 15:45
autor: gubit
double.decode pisze: Czy mając dwa konteksty na FWSM mogę jeden z nich skonfigurować jako routed a drugi transparent (IMHO tak, ale jeszcze nie próbowałem)?
Tak. Wg mnie na FWSM tak. Na ASA nie.

: 17 gru 2010, 16:50
autor: dorvin
Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%

: 17 gru 2010, 17:21
autor: double.decode
dorvin pisze:Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%
Pytanie o konteksty było z tzw. innej beczki ;)
W Twoim scenariuszu wystarczy mi tylko jeden interfejs na FWSM, dobrze rozumuję?

: 17 gru 2010, 19:02
autor: dorvin
double.decode pisze:
dorvin pisze:Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%
Pytanie o konteksty było z tzw. innej beczki ;)
W Twoim scenariuszu wystarczy mi tylko jeden interfejs na FWSM, dobrze rozumuję?
Nie. 2. Jeden do VLANu serwerowego, drugi do reszty sieci.

: 17 gru 2010, 23:57
autor: sebu
proponuje zajrzec tu

: 18 gru 2010, 11:38
autor: zawierta
Dla tych co nie chcą czytać całego:
You can set each context to run in routed firewall mode (the default) or transparent firewall mode.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl