Самостоятельно её не решил никто из соревновавшихся. Попробуйте и вы ваши силы :)
Итак, у вас есть довольно простая топология
Пусть в сети есть ОФИС и ЦОД. Между ними куплена выделенная линия. Все ресурсы сосредоточены в ЦОД и в нормальном состоянии сети все пакеты из ОФИСа в Интернет должны ходить через интерфейс DMZ, ведущий прямо в ЦОД (канал должен полностью шифроваться). Адреса источника должны оставаться неизменными. В случае падения выделенной линии пакеты из ОФИСа в ЦОД и далее в ИНтернет должны попадать в зашифрованный IPSec канал через Интернет до ЦОДа. Для этого у ОФИСа есть свой выход в Интернет. Исключение составляет лишь хост 192.168.1.100, которому в случае падения выделенной линии необходимо предоставлять прямой выход в интернет, используя адрес интерфейса outside ASA ОФИСа, но сохранив для него возможность работать с сетью ЦОДа (10.1.0.0/16) через шифрованный канал. Дополнительно, для защиты от DoS атак на IPSec необходимо запретить ASA ОФИСа обрабатывать пакеты IPSec от всех, кроме адреса интерфейса outside ASA ЦОД.
Ваша задача состоит в том, чтобы предоставить конфиг ASA ОФИСа. Достаточно предоставить:
1. Описание «интересного трафика» для каналов IPSec
2. Описание правил трансляции NAT
3. Способ защиты от DoS атак на IPSec
_________________________________________________________________________
Если эта задачка решалась за 25 минут, соискатель получал супер приз :)
ЗЫ Уверен, что вы её решите. Поэтому, чтобы жизнь медом не казалась, решите её для двух вариантов:
А) no nat-control
B) nat-control
PS Традиционно, кто только читает хабр, может зарегистрироваться на форуме на www.anticisco.ru и отвечать там, в разделе форума «Задачки на сообразительностЬ»
Итак, у вас есть довольно простая топология
Пусть в сети есть ОФИС и ЦОД. Между ними куплена выделенная линия. Все ресурсы сосредоточены в ЦОД и в нормальном состоянии сети все пакеты из ОФИСа в Интернет должны ходить через интерфейс DMZ, ведущий прямо в ЦОД (канал должен полностью шифроваться). Адреса источника должны оставаться неизменными. В случае падения выделенной линии пакеты из ОФИСа в ЦОД и далее в ИНтернет должны попадать в зашифрованный IPSec канал через Интернет до ЦОДа. Для этого у ОФИСа есть свой выход в Интернет. Исключение составляет лишь хост 192.168.1.100, которому в случае падения выделенной линии необходимо предоставлять прямой выход в интернет, используя адрес интерфейса outside ASA ОФИСа, но сохранив для него возможность работать с сетью ЦОДа (10.1.0.0/16) через шифрованный канал. Дополнительно, для защиты от DoS атак на IPSec необходимо запретить ASA ОФИСа обрабатывать пакеты IPSec от всех, кроме адреса интерфейса outside ASA ЦОД.
Ваша задача состоит в том, чтобы предоставить конфиг ASA ОФИСа. Достаточно предоставить:
1. Описание «интересного трафика» для каналов IPSec
2. Описание правил трансляции NAT
3. Способ защиты от DoS атак на IPSec
_________________________________________________________________________
Если эта задачка решалась за 25 минут, соискатель получал супер приз :)
ЗЫ Уверен, что вы её решите. Поэтому, чтобы жизнь медом не казалась, решите её для двух вариантов:
А) no nat-control
B) nat-control
PS Традиционно, кто только читает хабр, может зарегистрироваться на форуме на www.anticisco.ru и отвечать там, в разделе форума «Задачки на сообразительностЬ»
