Comments 12
«ASA: заморочки трансляции..» — ну оочень длинные заморочки.)
Имею ввиду про текст. Может надо было б сделать раскладку как-то более популярно и для широкой аудитории?
Имею ввиду про текст. Может надо было б сделать раскладку как-то более популярно и для широкой аудитории?
-4
Вряд ли тем, кому непонятна и бесполезна информация в таком виде, станет полезнее в сокращенном.
0
Да, я это отчетливо осознаю. Однако, убрав отсюда текст рассуждений мы придём к command guide в лучшем случае. Это не то, чего я хочу. Я стремлюсь наглядно и популярно объяснить, как оно работает. Я примерно так рассказываю на курсах (в данном случае это курс SNAF)
А в результате этих статей, надеюсь, появится нужная и полезная, мало того, единственная книжечка про АСАшки на русском языке.
А в результате этих статей, надеюсь, появится нужная и полезная, мало того, единственная книжечка про АСАшки на русском языке.
+2
Не заморачивайтесь, кому надо прочитает и не заметит длинны, а кому не надо, для тех я думаю вы писать не будете.
0
Позволю себе не согласиться: я имею свою точку зрения, вопрошающий свою, не менее имеющую право на существование.
Я всегда стараюсь выслушать и понять чужую т.з., хотя это иногда очень трудно :)
Поэтому словом «заморачиваться» я бы не стал называть попытку диалога. Я так за 8 лет привык: слушать и пытаться понять чужую т.з… И объяснить свою т.з.
Без сомнения я, как настоящий эгоист, свою т.з. ценю высоко :)
Я всегда стараюсь выслушать и понять чужую т.з., хотя это иногда очень трудно :)
Поэтому словом «заморачиваться» я бы не стал называть попытку диалога. Я так за 8 лет привык: слушать и пытаться понять чужую т.з… И объяснить свою т.з.
Без сомнения я, как настоящий эгоист, свою т.з. ценю высоко :)
+1
Достаточно подробно. Спасибо за статью.
0
Спасибо, хорошая статья. Ждем продолжения.
+1
«а внешняя трансляция подменяет адрес источника при проходе «внутрь» МЭ.» Случаем не опечатка? Какой практический смысл подменять адрес источника при проходе внутрь?
0
Вопрос про производительность. Правильно ли я понимаю, что для пользователя с белым IP внутри сети выключенный nat-control и настроеный nat 0 не отличается. Но во втором случае ASA будет тратить CPU и пересобирать пакеты. А если у меня таких много, то я могу неплохо повысить/оптимизировать пропускную способность ASA убрав nat 0 и выключив nat-control.
0
nat 0 пакеты не пересобирает. Он НЕ создает трансляцию «в себя». В отличие от известного способа (опишу в след. части): static (ins,out) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
Вот такой статик — пересобирает.
Но правило nat 0 не простое — его ведь надо отслеживать на всех интерфейсах с меньшей чем у источника секурностью. Мало того, самое веселье получается на ответ. Впрочем, т.к. избыточной маршрутизации на АСА нет, большой проблемы это не создает.
Я не имею четкого ответа про производительность. Сейчас, когда на АСА линукс похоже, что маршрутизация предпочтительнее nat 0. Насколько существенно — не знаю.
Но в ряде компаний требования безопасности таковы, что nat 0 необходим.
Вот такой статик — пересобирает.
Но правило nat 0 не простое — его ведь надо отслеживать на всех интерфейсах с меньшей чем у источника секурностью. Мало того, самое веселье получается на ответ. Впрочем, т.к. избыточной маршрутизации на АСА нет, большой проблемы это не создает.
Я не имею четкого ответа про производительность. Сейчас, когда на АСА линукс похоже, что маршрутизация предпочтительнее nat 0. Насколько существенно — не знаю.
Но в ряде компаний требования безопасности таковы, что nat 0 необходим.
0
Sign up to leave a comment.
ASA: заморочки трансляции сетевых адресов. Часть 1. Динамические трансляции