Здравствуйте,от начальства пришло очень необычное требование,постараюсь описать все крайне подробно. Короче есть коммутатор 4500 и ASA 5500,есть подсеть 172.25.89.0 и 192.168.100.0. 172.25.89.1 прописан на ASA, 172.25.89.2 на 4500, нужно чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети, то шлюзом служил 172.25.89.2 т.е. 4500.
Возможно ли такое настроить.
> Здравствуйте,от начальства пришло очень необычное требование,постараюсь описать все
> крайне подробно. Короче есть коммутатор 4500 и ASA 5500,есть подсеть
> 172.25.89.0 и 192.168.100.0. 172.25.89.1 прописан на ASA, 172.25.89.2 на 4500, нужно
> чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил
> 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети,
> то шлюзом служил 172.25.89.2 т.е. 4500.
> Возможно ли такое настроить.Для обслуживания кошек, вы хоть учебники по CCNA прочитали?
> Возможно ли такое настроить.Да возможно. Как минимум 2 способами.
> от начальства пришло очень необычное требованиеЕсли это от начальства, которе лезет в микроменеджмент и проектировать сети, то пусть начальство и решает как именно это сделать, на свою голову.
Если это вы сами так придумали, то колитесь, какую именно цель вы преследуете и какие пограничные условия пытаетесь соблюсти. В текущей формулировке, решение так себе, хотя не могу не обратить внимание на то что вы его описали весьма внятно и компактно.> Возможно ли такое настроить.
Да, даже как минимум тремя способами, более или менее простыми, но грязными. Замучаетесь их поддерживать, а уж что говорить о ваших последователях...
Рисуйте картинку, как вы себе это представляете и в каком контексте оно должно работать. Опишите задачу на более высоком уровне (https://en.wikipedia.org/wiki/Abstraction_layer). Скорее всего можно будет придумать что-то вменяемое.
Или зовите специалиста на возмездной основе. Любой каприз, как говорится.
Если раздача адресов в сети 172.25.89.0 идет через dhcp, то можно задействовать там 121 опцию dhcp...
>[оверквотинг удален]
> преследуете и какие пограничные условия пытаетесь соблюсти. В текущей формулировке, решение
> так себе, хотя не могу не обратить внимание на то что
> вы его описали весьма внятно и компактно.
>> Возможно ли такое настроить.
> Да, даже как минимум тремя способами, более или менее простыми, но грязными.
> Замучаетесь их поддерживать, а уж что говорить о ваших последователях...
> Рисуйте картинку, как вы себе это представляете и в каком контексте оно
> должно работать. Опишите задачу на более высоком уровне (https://en.wikipedia.org/wiki/Abstraction_layer).
> Скорее всего можно будет придумать что-то вменяемое.
> Или зовите специалиста на возмездной основе. Любой каприз, как говорится.Спасибо за ответ и потраченное время, нет это не моя инициатива-это у нас отдел есть по защите информации
они решили что то подобное закуралесить, но удалось их отговорить.
> Спасибо за ответ и потраченное время, нет это не моя инициатива-это у
> нас отдел есть по защите информации
> они решили что то подобное закуралесить, но удалось их отговорить.Сама их инициатива, возможно, здравая.
Есть довольно простой на словах, но иногда трудноразличимый на практике принцип. Пусть условный потребитель (клиент, начальник, ИБ, ЗИ, регулятор) решает "что", но оставит условному поставщику (ответственному, исполнителю) решать "как". Я потому и говорил про цели и пограничные условия, оттуда надо плясать.
> Здравствуйте,от начальства пришло очень необычное требование,постараюсь описать все
> крайне подробно. Короче есть коммутатор 4500 и ASA 5500,есть подсеть
> 172.25.89.0 и 192.168.100.0. 172.25.89.1 прописан на ASA, 172.25.89.2 на 4500, нужно
> чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил
> 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети,
> то шлюзом служил 172.25.89.2 т.е. 4500.
> Возможно ли такое настроить.Каждый клиент должен иметь маршрут к 192.168.100.0 через 172.25.89.1, а дефотный маршрут оставить 172.25.89.2. Как ты это сделаешь - через dhcp, или политикой домена выполнишь батничек, или вручную всех обойдёшь и настроишь, это твоё дело.
>[оверквотинг удален]
>> крайне подробно. Короче есть коммутатор 4500 и ASA 5500,есть подсеть
>> 172.25.89.0 и 192.168.100.0. 172.25.89.1 прописан на ASA, 172.25.89.2 на 4500, нужно
>> чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил
>> 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети,
>> то шлюзом служил 172.25.89.2 т.е. 4500.
>> Возможно ли такое настроить.
> Каждый клиент должен иметь маршрут к 192.168.100.0 через 172.25.89.1, а дефотный маршрут
> оставить 172.25.89.2. Как ты это сделаешь - через dhcp, или политикой
> домена выполнишь батничек, или вручную всех обойдёшь и настроишь, это твоё
> дело.Еще вариант на 172.25.89.2 добавить маршрут к 192.168.100.0 через 172.25.89.1. А 172.25.89.2 оставить маршрутом по умолчанию для клиентов. Но это некрасиво.
>[оверквотинг удален]
>>> чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил
>>> 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети,
>>> то шлюзом служил 172.25.89.2 т.е. 4500.
>>> Возможно ли такое настроить.
>> Каждый клиент должен иметь маршрут к 192.168.100.0 через 172.25.89.1, а дефотный маршрут
>> оставить 172.25.89.2. Как ты это сделаешь - через dhcp, или политикой
>> домена выполнишь батничек, или вручную всех обойдёшь и настроишь, это твоё
>> дело.
> Еще вариант на 172.25.89.2 добавить маршрут к 192.168.100.0 через 172.25.89.1. А 172.25.89.2
> оставить маршрутом по умолчанию для клиентов. Но это некрасиво.Почему вдруг "некрасиво"??
Вполне нормальное решение, причем ШТАТНОЕ, и для оптимальности даже в ICMP соответствующее сообщение есть, которое пошлет 172.25.89.2 клиенту и если у оного не заперто файрволом ICMP redirect то на клиенте САМ появится временный маршрут к 192.168.100.0 через 172.25.89.1.