Реально ли осуществить такой хитрый тип доступа?

Добрый день уважаемые! Взываю к великим умам Цискарей и иже с ними.

Нужно организовать очень на мой взгляд хитрую схему сетевого доступа, либо иметь полное понимание того что так сделать совершенно нельзя.

Итак, есть cisco ASA. Схема чуть продвинутее классической. 4-ре интерфейса — inside, outside, DMZ1 и DMZ2. Хосты из DMZ1 и DMZ2 ходят в Интернет предварительно статически натируясь. То есть им доступен Интернет, Интернету доступны они.

Есть хост в DMZ1 с внутренним адресом, ну к примеру, 172.16.1.10, он статически снатирован в 66.66.66.66. Есть хост в DMZ2 с внутренним адресом 192.168.2.50, он статически снатирован в 77.77.77.77. То есть адреса из «разных DMZ» натируются в белые адреса из разных подсетей. Эти подсети снаружи роутит роутер (не ASA — роутер за outside интерфейсом).
Внимание вопрос — можно ли реализовать доступ так, чтобы с Интернета эти два хоста по прежнему прекрасно виделись по указанным белым адресам, но при этом и друг с другом могли взаимодействовать по ним — то есть 66.66.66.66 <--> 77.77.77.77?

Я прекрасно понимаю что для таких задач надо использовать DNS и не заморачиваться, но всё же надо попробовать без DNS.
Я интуитивно понимаю что так нельзя — ASA просто не сможет завернуть трафик по такой схеме, просто исходя из принципа функционирования фундаментальных технологий (роутинга и NAT).

Но может всё таки можно средствами cisco это реализовать? М.б. хитрые какие роут-мапы?

И если можно, то можно ли всё это реализовать если внешние адреса юзаются из одного диапазона?

Заранее благодарю за ответ.
  • Вопрос задан
  • 4737 просмотров
Решения вопроса 1
@JDima
Я интуитивно понимаю что так нельзя

Не совсем. Пакет может снатиться, уйти в outside (как велит таблица маршрутизации для этого префикса или для 0/0), отскочить обратно от провайдерского (или своего) роутера (так как в таблице маршрутизации все пути ведут назад), снова снатиться и попасть в цель. Немного коряво, но работать будет. Ну и какое еще есть железо?

Хитрых полиси-мапов нема, АСА не умеет PBR.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@bondbig
Если все хосты в DMZ1/2 имеют назначенные публичные ip, то зачем натить? Убрать нат, сделать маршрут и будут бегать пакеты напрямую между хостами, согласно acl. Другой вопрос — если хостам в разных ДМЗ нужно взаимодействовать напрямую, то может их нужно поместить в один ДМЗ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы