Клуб Сертифицированных Специалистов Клуб Сертифицированных Специалистов
Клуб Сертифицированных Специалистов
Клуб Сертифицированных Специалистов
регистрация  напомнить пароль      вхожу с чужого компьютера    
войти
Rambler's Top100

Новости сертификации

Новости клуба


Форум


Рассылка

Библиотека

Расписание курсов

Ссылки

Книжный магазин

Биржа труда


Регистрация

Сервис


О проекте


Поиск

Центр технической поддержки Supporting.Ru
Центр Обучения и Тестирования "САМАН-МАТИ"
Журнал 'Системный администратор'
Интернет университет информационных технологий

первая страница  /  форум  /  Вернуться в раздел архива "Техническая поддержка: Cisco"  /


Прохождение правил на PIX
 Andrey Nechmiryov [more]2005-10-21 14:58:12

Подскажите, есть ли полная схема прохождения пакетов в PIX`e?
Вопрос возник из-за непонимания мной нескольких моментов.
1) когда обрабатывается правило crypto map <mapname> 10 match address ...?
Только на шифрование трафика? Тогда получается, что ВЕСЬ трафик, приходящий через VPN доставляется адресату?
2) outside NAT + VPN. НАТирование происходит после расшифровки трафика из VPN?

Спасибо.

 Sergey Moroz [more]2005-10-21 20:59:28

Так же как и на роутере.

С учетом того, что аксесс-листы на пиксе бывают только IN, и ЯВНОЕ описание правил трансляции трафика (nat/роутинг) для каждой пары интерфейсов пикса является обязательным. В остальном см. документ "NAT Order of Operation" для роутера.

Крипто мап, как и на роутере, срабатывает последним. После нат.

Упрощенно:

ДЛЯ inside -> outside:

1. acl in на внутреннем интерфейсе
2. выбор внешнего интерфейса по routing table
3. nat/nonat на внешнем интерфейсе (если вообще никакие правила обработки не описаны - пакет дропается)
4. acl out на пиксе нету
5. crypto map на внешнем интерфейсе

ДЛЯ outside -> inside

1. crypto map на внешнем интерфейсе
2. acl in на внешнем интерфейсе
3. nat/nonat на внешнем интерфейсе (денатирование)
4. выбор внутреннего интерфейса по routing table
5. acl out на пиксе нету

Все, короче, просто :-)

 Sergey Moroz [more]2005-10-21 21:07:56

P.S. Весь трафик приходящий _из_ IPSEC туннеля на пикс считается inbound, т.е. дропается алгоритмом ASA по умолчанию. Чтобы его разрешить, надо либо:

1. в ACL на внешнем интерфейсе разрешить _нешифрованный_ трафик из туннеля (см. выше порядок обработки), при этом esp и ike в ACL разрешать НЕ надо.

2. написать sysopt connection permit-ipsec - эта команда автоматически разрешает ВЕСЬ входящий трафик из ipsec туннелей в направлении outside -> inside. В этом случае ACL на outside вообще не нужен.

 Andrey Nechmiryov [more]2005-10-31 15:34:39

<i>to Sergey Moroz:</i>
Спасибо. Теперь ясно.


PS. Был в командировке, ответить раньше не мог.

Создание и поддержка: © 1999- САМАН  
   (495) 915-3358, 915-3580, 585-6927, 585-6799  
 
 Центр Обучения и Тестирования "САМАН"
 Центр технической поддержки "Supporting.Ru"
 Кафедра "Интернет технологии" МАТИ 		Rambler's Top100