Close Topic Options

[valja]

Кто либо делал (успешно) переход с ASA 8.2.5 на ASA 8.4.5?

В имеющиейся конфигурации у CSC SSM (6.3.ххх) систематически зашкаливает процессор - уходит на 100%, хотя все вроде работает. Выправлено все в SSM 6.6.1125, но для этого нужен как минимум ASA 8.4.2.

Проблема тут в том, чо при прерходе с 8.2 на 8.3 кардинально меняется вся конфинурация NAT. У меня на ASA5510 с пятью интерфесами в 8.2.5 конфигурации между внтренними стоит NAT Exempt и динамический/статический NAT стоит только там где нужно, все на внешний интерфейс.

Я попробовал это переход 8.2.5 -> 8.4.5, в основном правила перевелись нормально, но NAT накрылся медным тазом - в ASDM вместо пары десятков простых правил появилось два экрана непонятного мусора. Естественно, ни фига не заработало . И главное, непонятно, как в ASDM созоздавать рабочую конфигирацию (если стереть весь этот мусор). Бегло глянул на создание правил. и не нашел главного - как создать NAT Exempt? В ASA 8.2.5 для этого простая кнопка есть. А без него никак . И какой дебил придумал NAT по умолчанию? Нужен то он только для внешнего интерфейса и все правила были бы на порядок проще. Пришлось откатиться назад на 8.2.5 - учить албанский (те. новые правила NAT) при неработающеей машине на было времени.

Вопрос, собственно в том, есть ли смысл маяться и подготавливать этот переход и если смысл есть, то как это сделать по возможности безболезненно? Сейчас все вроде и так работает, но шибко не нравится 100% процессора

[ns38]

На хоботе наверное быстрее помогут...

[Гордый]

QUOTE (ns38 @ 16-11-2013, 20:57)

На хоботе наверное быстрее помогут...

да я бы помог... знать бы о чём речь вообще.

[ns38]

О сиськах все, о них, любимых...
http://ru.wikipedia.org/wiki/Cisco_ASA

[valja]

QUOTE (ns38 @ 16-11-2013, 21:57)

На хоботе наверное быстрее помогут...

Увы, там пока тоже тишина.

Похоже, на будущей неделе придется учить албанский

[ns38]

А много там правил этих? я б записал основные если экспорта нет, и заресетил.

[valja]

QUOTE (ns38 @ 17-11-2013, 19:06)

А много там правил этих? я б записал основные если экспорта нет, и заресетил.

Если не найду, как в ASDM делать NAT Exempt, то возможно, что так и придется сделать, стерев предварительно через ASDM весь мусор.

Вся беда в этом гадском автоматическом NAT между всеми интерфейсами, который во внутренней сети нафиг не нужен. Поэтому отмены встроенного NAT (NAT Exempt) чуть ли не больше чем самих рабочих правил. То есть, у каждого внутреннего интерфейса в начале три NAT Exempt (на все другие внутренние интерфейсы= - в сумме 12 штук, плюс еще один для внешнего VPN. Начиная с IOS 8.3 NAT Exrmpt (он же ńat 0) выкинут и его реалзация выглядит в IOS 8.3 для меня весьма дико. Возможно, как то можно это реализовать и в графике ASDM.

А далше port mapping для нескольких серверов (DNS, mail etc), это скорее всего легко сделать и в ASDM (хотя там тоже какие то правила изменились).

Не было бы этого гадского автоматического NAT, все было бы намного проще - в дополнение к port mapping для нескольких серверов было бы четыре простых NAT наружу вместо 13(!) отмен NAT, которые еще хз как делать.

[ns38]

с 8.3 синтаксис сменился
http://xgu.ru/wiki/Cisco_ASA/NAT
я б для начала отревизил правила.

[valja]

На iXBT посоветовали написать в текстовый файл "правилный" CLI код заранее и после перехода просто загнать его в ASA. Тут, правда, для меня засада в том, что этот текст должен быть без ошибок, иначе я потом замучаюсь корректироать.

Возможно, для меня все же будет проще все делать в ASDM. Простые port mapping скорее всего переводятся нормально (вместе с обновленным ACL), а ошибки связаны именно с NAT Exempt. Как я понял, вместо NAT Exempt в новой версии используется Identity NAT, а его можно делать и в ASDM. Всго этих Exempt правил у меня 10, из них половина для VPN (который во время перехода не нужен) - вбить в графике ASDM пять правил Identity NAT для меня будет, пожалуй проще и быстрее, чем мучаться с синтаксом CLI текста.

Но сперва придетя еще почитать описание нового VPN, И эта новая версия у меня восторга не вызывает Лучше бы они отменили этот встроенный по умолчанию NAT, все правила стали бы намного проще.