Forum Cisco-BR

Simulados, simuladores, apostilas, forum brasileiro
 
InícioInício  CalendárioCalendário  FAQFAQ  BuscarBuscar  Registrar-seRegistrar-se  MembrosMembros  GruposGrupos  LoginLogin  
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Últimos assuntos
» Preparatório CCNA R&S
Ter Abr 05, 2016 2:10 pm por Sávio Augusto

» Problema roteamento
Ter Mar 22, 2016 5:51 pm por joaormv

» Avaliação do curso de suporte a redes do SENAI
Ter Mar 22, 2016 4:55 pm por joaormv

» Relatório syslog
Ter Mar 22, 2016 4:51 pm por joaormv

» DDNS NO-IP CISCO 1905
Sex Mar 11, 2016 10:23 pm por diegofrancaa

» Air Point Cisco 1041 ACESSAR
Sex Mar 11, 2016 10:08 pm por diegofrancaa

» Luz Power Piscando Direto
Seg Set 28, 2015 1:17 pm por AndreH

» Modem: TP-LINK8816 com roteador Linksys WRT54g: Problema
Sex Set 11, 2015 2:49 pm por lepokoloko

» VIRTUAL SWITCHING SYSTEM - VSS 1440
Ter Set 08, 2015 8:45 am por wstaenle

Navegação
 Portal
 Índice
 Membros
 Perfil
 FAQ
 Buscar
Fórum
Parceiros

Compartilhe | 
 

 Duvida NAT Asa 5510

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
dimago



Número de Mensagens : 15
Idade : 31
Localização : Blumenau/SC
Reputação : 0
Pontos : 28
Data de inscrição : 08/11/2010

MensagemAssunto: Duvida NAT Asa 5510   Dom Abr 10, 2011 10:16 pm

Boa noite pessoal!

Tenho uma duvida com meu fwl, e precisaria da ajuda de voces.

Sei que com iptables, consigo fazer a seguinte situação:

Origem Destino Porta Translate Translate Port
ALL IP_VALIDO 80 servidor_1 80
200.200.200.200 IP_VALIDO 80 servidor_2 80

Lendo:
- qlq origem, com destino ao IP_VALIDO na porta 80 manda pro servidor_1 na porta 80
- somente a origem 200.200.200.200, com destino ao IP_VALIDO na porta 80, manda pro servidor_2 na porta 80

isso consigo fazer em linux/iptables..

Seria possível fazer a mesma situação no meu Asa 5510?

Obrigado,

Diego
Voltar ao Topo Ir em baixo
Ver perfil do usuário
andreirapuru
Associate


Número de Mensagens : 54
Idade : 34
Localização : São Paulo/SP
Reputação : 13
Pontos : 67
Data de inscrição : 27/01/2011

MensagemAssunto: Re: Duvida NAT Asa 5510   Ter Maio 10, 2011 3:27 pm

No ASA esse processo é separado, onde temos que permitir o tráfego (ACL) e fazer o redirecionamento (NAT).

Supondo que a access-list que está aplica a interface outside (WAN) chame aclout:

ACL:
access-list aclout extended permit tcp any host IP_VALIDO eq http
access-list aclout extended permit tcp host 200.200.200.200 host IP_VALIDO2 eq http

NAT:
static (inside,outside) tcp IP_VALIDO www servidor_1 www netmask 255.255.255.255
static (inside,outside) tcp IP_VALIDO2 www servidor_2 www netmask 255.255.255.255

Observe QUE NÃO É POSSÍVEL FAZER NAT DE UM IP VALIDO PARA DOIS SERVIDORES NA MESMA PORTA.
Neste caso você precisa publicar cada servidor em um IP valido.


www.brainwork.com.br/qa
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.brainwork.bom.br/blog
dimago



Número de Mensagens : 15
Idade : 31
Localização : Blumenau/SC
Reputação : 0
Pontos : 28
Data de inscrição : 08/11/2010

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 8:43 am

Oi Andrei, obrigado pela dica.

Voce entende, que esta funcionalidade que o ASA nao tem é de grande importância?

Fiquei sabendo que numa nova versão do IOS do ASA foi implementado alguma melhoria. Nao sei se é verdade realmente.

Voce chegou a ver algo sobre isso?

Abs e obrigado pela ajuda.

Diego
Voltar ao Topo Ir em baixo
Ver perfil do usuário
andreirapuru
Associate


Número de Mensagens : 54
Idade : 34
Localização : São Paulo/SP
Reputação : 13
Pontos : 67
Data de inscrição : 27/01/2011

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 9:09 am

Concordo que seria bom, assim como suporte a dois link com balanceamento (que também não é suportado).

De fato a Cisco vem preparando o terreno para implantar essas funcionalidades, com mudanças na sintaxe de NAT, porém hoje ainda não temos nada neste sentido.
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.brainwork.bom.br/blog
dimago



Número de Mensagens : 15
Idade : 31
Localização : Blumenau/SC
Reputação : 0
Pontos : 28
Data de inscrição : 08/11/2010

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 9:39 am

Legal Andrei, obrigado pelos esclarecimentos.

Sobre esse ponto do balanceamento, você quer dizer o BGP, ou algo como? Seria algo como mundo externo conectando no meu IP_VALIDO, certo? sendo que tenho 3 links de operadoras diferentes como gateway de internet, e a função do BGP vai depender destas operadoras poderem fazer isso. Se as operadoras fazendo isso, ainda tenho que configurar algo no ASA? (isso to dando um exemplo) ou vc quis dizer de algo na rede WAN?

Segue um exemplo de uma situação que temos em nível WAN

Aqui temos um problema onde o cliente (com um router 1801) possui dois links, e se um deles cai, o outro assume no mesmo momento, algo como ativo passivo, o tal do IPSLA, e ai usamos access list para dar prioridade para alguns destinos.

Isso está legal, porém a minha volta que é problema. Tenho as rotas no FWL (que nao acho legal, pois ele nao faz o que queremos) e tenho que mudar a rota no FWL para usar o outro link. Nao me adiante ter o IPSLA, se quando cai o link tenho que mudar a rota na mão, digamos que tenho a solução 50% Sad

Ai estamos colocando um 3750, colocar todas as rotas para ele, deixando que o ASA jogue sempre para eles as redes, e ai o 3750 configurado com BGP.

Nao sei se é uma das melhores soluções, pois nosso conhecimento em Cisco acaba sendo limitado, dependendo sempre de terceiros, e sabemos que nem sempre o que els falam é o mais correto, ou a melhor solução né...

Voltar ao Topo Ir em baixo
Ver perfil do usuário
andreirapuru
Associate


Número de Mensagens : 54
Idade : 34
Localização : São Paulo/SP
Reputação : 13
Pontos : 67
Data de inscrição : 27/01/2011

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 12:14 pm

O que eu disse foi sobre balanceamento é que o ASA não aceita receber dois links de internet e balancear a saída.

Quanto ao seu cenário, por que mudar a rota no firewall se só tem um roteador na frente dele?
A rota do firewall deveria ser para o roteador e nele você farias as configurações de roteamento (e NAT).
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.brainwork.bom.br/blog
dimago



Número de Mensagens : 15
Idade : 31
Localização : Blumenau/SC
Reputação : 0
Pontos : 28
Data de inscrição : 08/11/2010

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 1:24 pm

entendi...

entao, iremos mudar esse cenário...

passaremos a ter todas as rotas no roteador, e deixaremos o ASA somente para firewall mesmo...

aplicar o NAT no roteador parece ser uma boa opção..

Vi no seu site ali, que tem um post sobre o IOS checker certo...

ali nao tenho o IOS do meu fwl ASA.. ( 8.2(1) )

sabe se fiz algo de errado?
Voltar ao Topo Ir em baixo
Ver perfil do usuário
andreirapuru
Associate


Número de Mensagens : 54
Idade : 34
Localização : São Paulo/SP
Reputação : 13
Pontos : 67
Data de inscrição : 27/01/2011

MensagemAssunto: Re: Duvida NAT Asa 5510   Qua Maio 11, 2011 5:09 pm

O IOS Checker é para roteador, switch e AP (aliás não testei com AP), que usam o IOS.

Os firewalls (ASA e PIX) não usam IOS, por isso não apareceu o seu...
A saber:
O ASA usa o ASA OS, e o PIX usa o PIX OS.

vlw.

Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.brainwork.bom.br/blog
dimago



Número de Mensagens : 15
Idade : 31
Localização : Blumenau/SC
Reputação : 0
Pontos : 28
Data de inscrição : 08/11/2010

MensagemAssunto: Re: Duvida NAT Asa 5510   Qui Maio 12, 2011 9:09 am

Legal Andrei, bom saber...

E será que existe alguma ferramenta nesse nível para uso com o ASA?

obrigado

vlw
Voltar ao Topo Ir em baixo
Ver perfil do usuário
andreirapuru
Associate


Número de Mensagens : 54
Idade : 34
Localização : São Paulo/SP
Reputação : 13
Pontos : 67
Data de inscrição : 27/01/2011

MensagemAssunto: Re: Duvida NAT Asa 5510   Qui Maio 12, 2011 9:27 am

Tem o Bug Tool Kit, que mostra os bugs.
Para acessar é preciso ter usuário no site da Cisco.
http://tools.cisco.com/Support/BugToolKit/action.do?hdnAction=searchBugs
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.brainwork.bom.br/blog
Conteúdo patrocinado




MensagemAssunto: Re: Duvida NAT Asa 5510   Hoje à(s) 11:10 pm

Voltar ao Topo Ir em baixo
 
Duvida NAT Asa 5510
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1
 Tópicos similares
-
» [Resolvido]Duvida com jogo online
» [DUVIDA] Teria como colocar Boot para punbb
» Duvida com submenu
» Duvida GPS
» Duvida - menu em html

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Forum Cisco-BR :: Forum :: Suporte-
Ir para: