Pull to refresh

Comments 12

«ASA: заморочки трансляции..» — ну оочень длинные заморочки.)
Имею ввиду про текст. Может надо было б сделать раскладку как-то более популярно и для широкой аудитории?
Вряд ли тем, кому непонятна и бесполезна информация в таком виде, станет полезнее в сокращенном.
Да, я это отчетливо осознаю. Однако, убрав отсюда текст рассуждений мы придём к command guide в лучшем случае. Это не то, чего я хочу. Я стремлюсь наглядно и популярно объяснить, как оно работает. Я примерно так рассказываю на курсах (в данном случае это курс SNAF)

А в результате этих статей, надеюсь, появится нужная и полезная, мало того, единственная книжечка про АСАшки на русском языке.
Не заморачивайтесь, кому надо прочитает и не заметит длинны, а кому не надо, для тех я думаю вы писать не будете.
Позволю себе не согласиться: я имею свою точку зрения, вопрошающий свою, не менее имеющую право на существование.

Я всегда стараюсь выслушать и понять чужую т.з., хотя это иногда очень трудно :)

Поэтому словом «заморачиваться» я бы не стал называть попытку диалога. Я так за 8 лет привык: слушать и пытаться понять чужую т.з… И объяснить свою т.з.

Без сомнения я, как настоящий эгоист, свою т.з. ценю высоко :)
Достаточно подробно. Спасибо за статью.
Спасибо, хорошая статья. Ждем продолжения.
«а внешняя трансляция подменяет адрес источника при проходе «внутрь» МЭ.» Случаем не опечатка? Какой практический смысл подменять адрес источника при проходе внутрь?
Далее по ходу текста «хотим «спрятать» все реальные адреса источника обращений из Интернета». Видимо не ошибка. Буду читать внимательнее. ;-)
Нет, конечно не ошибка.

А в качестве примера использования — маленькая задачка (номер 1) в конце этой статьи
Вопрос про производительность. Правильно ли я понимаю, что для пользователя с белым IP внутри сети выключенный nat-control и настроеный nat 0 не отличается. Но во втором случае ASA будет тратить CPU и пересобирать пакеты. А если у меня таких много, то я могу неплохо повысить/оптимизировать пропускную способность ASA убрав nat 0 и выключив nat-control.
nat 0 пакеты не пересобирает. Он НЕ создает трансляцию «в себя». В отличие от известного способа (опишу в след. части): static (ins,out) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
Вот такой статик — пересобирает.

Но правило nat 0 не простое — его ведь надо отслеживать на всех интерфейсах с меньшей чем у источника секурностью. Мало того, самое веселье получается на ответ. Впрочем, т.к. избыточной маршрутизации на АСА нет, большой проблемы это не создает.

Я не имею четкого ответа про производительность. Сейчас, когда на АСА линукс похоже, что маршрутизация предпочтительнее nat 0. Насколько существенно — не знаю.

Но в ряде компаний требования безопасности таковы, что nat 0 необходим.
Sign up to leave a comment.

Articles