Frozen Fido : RU.CISCO : ASA5510 и Static policy

ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Andrew Lutov                         2:5000/26      05 Jun 2006  15:51:40
 To : All
 Subject : ASA5510 и Static policy
 --------------------------------------------------------------------------------

 Hello, All!
 
 Есть вот такое описание:
 
 object-group network toCitrix234
  network-object 10.1.1.0 255.255.255.0
  network-object 10.2.2.0 255.255.255.0
 object-group network toCitrix233
  network-object 10.3.3.0 255.255.255.0
  network-object 10.4.4.0 255.255.255.0
 
 access-list toUgate1 extended permit ip host 172.16.1.233 object-group 
 toCitrix233
 access-list toUgate1 extended permit ip host 172.16.1.234 object-group 
 toCitrix234
 
 static (inside,outside) 2.1.1.50  access-list toUgate1
 Hа основе которого система создает следующее:
 
 # sh x
 ...
 Global 2.1.1.50 Local 172.16.1.234
 Global 2.1.1.50 Local 172.16.1.234
 Global 2.1.1.50 Local 172.16.1.234
 Global 2.1.1.50 Local 172.16.1.234
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 Global 2.1.1.50 Local 172.16.1.233
 
 И, соответственно, всегда получается выход на первый из адресов, т.е.
 Global 2.1.1.50 Local 172.16.1.234
 хотя в описании команды написано:
 
 "
 access-list
 access_list_name
 
 Lets you identify real addresses for NAT by specifying the real and 
 destination
 
 addresses (or ports). This feature is known as policy NAT.
 
 The subnet mask used in the access list is also used for the mapped_ip.
 
 You can only include permit statements in the access list. You can also 
 specify the
 
 real and destination ports in the access list using the eq operator. Policy 
 NAT does
 
 not consider the inactive or time-range keywords; all ACEs are considered to 
 be
 
 active for policy NAT configuration.
 
 "
 
 Как сделать, чтобы полиси все же работало как мне хочется ?
 А хочется следующее: с одних адресов на один сервер, а с других - на другой.
 
 -- 
 А5 увидимся е2 ли 
 --- ifmail v.2.14.os-p7
  * Origin: Garant-Siberia fidonet station (2:5000/26@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
ASA5510 и Static policy	Andrew Lutov	05 Jun 2006 15:51:40
Re: ASA5510 и Static policy	Andrew Lutov	07 Jun 2006 11:36:58

Архивное /ru.cisco/12109fd419750.html, оценка 1 из 5, голосов 10