cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

como Administrar IP publicas por el ASA 5505

Un saludo a todos los que pertenecen a la comunidad Cisco, planteo la siguiente situacion que no he podido sacar adelante.

No e tratado con Firewall ASA 5505 , y me encuentro con esta situacion , tengo 5 ip disponibles a traves de un conversor de fibra.

Por el momento se esta utilizando una IP publica xxxx.xxxx.xxxx.xxxx que ingresa a su F0/0  y alimento a un Catalysty 3560 por la F 0/1 donde tengo unas VLANS configuradas, un segmento de red  10.56.10.0 que pertenece  a esta VLAN  y con salida a internet el resto de VLAN no .

Se plantea habilitar una nueva ip publica zzzz.zzzz.zzzz.zzzz  para que otros equipos mucho mas especificos ocupen esta ip en forma exclusiva y que no todo el trafico se haga por la ip publica xxxx.xxxx.xxxx.xxxx, Pregunta ¿ el ASA soporta esta configuracion? ¿De que forma se realiza? ¿ Devo crear una VLAN en el ASA?? .

Por favor acepto todos sus comentarios  y sugerencias Se que el diagra no representa las conecciones correctos pero es para demostar la situacion

GRacias

 

DIAGRAMA

1 RESPUESTA
New Member

Hola, Juan Respondiendo a tus

Hola, Juan 

Respondiendo a tus preguntas:

¿El ASA soporta esta configuración? 

Sí el Firewall ASA es capaz de manejar varias direcciones publicas. 

¿De que forma se realiza?

Es bastante sencillo. En tu asa debes configurar un NAT condicional. Es decir, que el grupo especifico de usuarios (IPs de la vlan 10.56.10.0) que al intentar acceder a Internet sea transformada en tu nueva IP publica (zzzz.zzzz.zzzz.zzzz).

En lineas de comando sería así: 

1.- Crea un grupo con los usuarios que van a usar esta nueva dirección, de forma de que sea más fácil agregar nuevos usuarios de esta nueva IP: 

object-group network user-vip
 description Usuarios preferenciales
 network-object host xxxx.xxxx.xxxx.xxxx
 network-object host xxxx.xxxx.xxxx.xxxx
 network-object host xxxx.xxxx.xxxx.xxxx
!

2.-  Luego que tienes el grupo, creas una ACL que clasifique el tráfico de tus usuarios específicos, así: 

access-list nat-users-vip permit tcp object-group user-vip  any

 

3.- Despues lo asoscias al nat, así: 

global (outside) 10 zzzz.zzzz.zzzz.zzzz

nat (inside) 10 access-list nat-users-vip

El número 10  es el identificador del NAT si lo tienes utilizado, cámbialo por otro. 

4.- Has un par de pruebas. No debería hacer falta de nada más. 

¿Debo crear una VLAN en el ASA?? 

Puedes hacerlo, pero no es algo obligatorio. Aunque recuerda, siempre es bueno que las vlans no superen los 250 usuarios, de esa forma puedes redistribuir volumen de tráfico y evitar problemas globales en tu red. 

Cualquier cosa estoy a tu orden, 

Nos leemos. 

103
Visitas
1
ÚTIL
1
Respuestas
CrearPor favor para crear contenido