Настройка маршрутизатора cisco asa

Настройка Cisco ASA 5505

Настройка Cisco ASA 5505 Межсетевые экраны Cisco ASA серии 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений Техническая

Межсетевые экраны Cisco ASA серии 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений

Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам. В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:

Начальные данные:

      Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
      Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
      Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
      Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).

Подключение к Cisco ASA 5505

Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:

По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.

Далее выполняется переход к режиму конфигурирования:

ciscoasa# configure terminal

Устанавливается пароль для привилегированного режима:

ciscoasa(config)# enable password (вводится выбранный пароль)

Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:

ciscoasa(config)# clear configure all

Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:

ciscoasa(config)# config factory-default

Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.

Создание VLAN интерфейсов

По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.

Читайте также:  Роутер zte настройка pppoe

Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:

ciscoasa(config)# interface vlan 1

ciscoasa(config-if)# nameif LAN

ciscoasa(config-if)# description LAN

ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

ciscoasa(config-if)# security-level 70

ciscoasa(config-if)# no shutdown

Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.

ciscoasa(config)# interface vlan 10

ciscoasa(config-if)# nameif WAN

ciscoasa(config-if)# description Internet

ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# no shutdown

Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:

ciscoasa(config)# interface vlan 20

ciscoasa(config-if)# nameif ADMLAN

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0

ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# no shutdown

Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:

ciscoasa(config)# interface vlan 30

ciscoasa(config-if)# nameif GUEST

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# no shutdown

Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:

ciscoasa(config)# show switch vlan

1 LAN down Et0/0, Et0/1, Et0/2, Et0/3

Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:

ciscoasa(config)# show interface vlan 1

Interface Vlan1 «LAN», is down, line protocol is down

Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec

MAC address 74a0.2f2a.e28d, MTU 1500

IP address 192.168.1.1, subnet mask 255.255.255.0

Traffic Statistics for «LAN»:

1 minute input rate 0 pkts/sec, 0 bytes/sec

1 minute output rate 0 pkts/sec, 0 bytes/sec

1 minute drop rate, 0 pkts/sec

5 minute input rate 0 pkts/sec, 0 bytes/sec

5 minute output rate 0 pkts/sec, 0 bytes/sec

5 minute drop rate, 0 pkts/sec

Привязка VLAN к физическим интерфейсам

Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:

ciscoasa(config)# interface Ethernet0/0

ciscoasa(config-if)# description WAN

ciscoasa(config-if)# switchport access vlan 10

ciscoasa(config-if)# no shutdown

Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:

ciscoasa(config)# interface Ethernet0/1

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# switchport access vlan 20

ciscoasa(config-if)# no shutdown

Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:

ciscoasa(config)# interface Ethernet0/3

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# switchport access vlan 30

ciscoasa(config-if)# no shutdown

Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:

ciscoasa(config)# interface Ethernet0/7

ciscoasa(config-if)# description Trunk port

ciscoasa(config-if)# switchport mode trunk

ciscoasa(config-if)# switchport trunk allow vlan 1,20,30

Читайте также:  Wi fi роутер linksys ea6400

ciscoasa(config-if)# no shutdown

Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.

Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:

ciscoasa(config)# show interface ip brief

Interface IP-Address OK? Method Status Protocol

Internal-Data0/0 unassigned YES unset up up

Internal-Data0/1 unassigned YES unset up up

Virtual0 127.0.0.1 YES unset up up

Vlan1 192.168.1.1 YES manual down down

Vlan10 10.241.109.251 YES manual up up

Vlan20 192.150.1.1 YES manual down down

Vlan30 192.130.1.1 YES manual down down

Ethernet0/0 unassigned YES unset up up

Ethernet0/1 unassigned YES unset down down

Ethernet0/2 unassigned YES unset down down

Ethernet0/3 unassigned YES unset administratively down down

Ethernet0/4 unassigned YES unset administratively down down

Ethernet0/5 unassigned YES unset administratively down down

Ethernet0/6 unassigned YES unset administratively down down

Ethernet0/7 unassigned YES unset down down

Настройка маршрутизации пакетов

Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:

ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х

Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:

ciscoasa(config)# ping 87.250.250.242

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms

Чтобы отобразились все прописанные маршруты, следует выполнить команду:

ciscoasa(config)# show route

Codes: C — connected, S — static, I — IGRP, R — RIP, M — mobile, B — BGP

D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area

N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2

E1 — OSPF external type 1, E2 — OSPF external type 2, E — EGP

i — IS-IS, L1 — IS-IS level-1, L2 — IS-IS level-2, ia — IS-IS inter area

* — candidate default, U — per-user static route, o — ODR

P — periodic downloaded static route

Gateway of last resort is 10.241.109.1 to network 0.0.0.0

C 10.241.109.0 255.255.255.0 is directly connected, WAN

S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN

Настройка DNS

Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.

Читайте также:  Как настроить роутер nevalink

ciscoasa(config)# dns domain-lookup WAN

ciscoasa(config)# dns name-server X.X.X.X

Чтобы проверить работоспособность DNS проведем ping узла ya.ru:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

Чтобы отобразить DNS-параметры нужно выполнить следующую команду:

ciscoasa(config)# show running dns

dns server-group DefaultDNS

Настройка DHCP

Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:

ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN

ciscoasa(config)# dhcpd dns X.X.X.X interface LAN

ciscoasa(config)# dhcpd enabled LAN

Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:

ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN

ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN

ciscoasa(config)# dhcpd enabled ADMLAN

Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST

ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST

ciscoasa(config)# dhcpd enabled GUEST

Для отображения всех имеющихся пулов выполняется команда:

ciscoasa(config)# show running dhcpd

dhcpd address 192.168.1.2-192.168.1.33 LAN

dhcpd dns 10.241.109.1 interface LAN

dhcpd address 192.150.1.2-192.150.1.33 ADMLAN

dhcpd dns 10.241.109.1 interface ADMLAN

dhcpd address 192.130.1.2-192.130.1.33 GUEST

Настройка NAT

Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.

Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:

ciscoasa(config)# object network OBJ_NAT_LAN

ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:

ciscoasa(config)# object network OBJ_NAT_ADMLAN

ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# object network OBJ_NAT_GUEST

ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface

Для отображения всех имеющихся правил NAT выполняется команда:

Auto NAT Policies (Section 2)

1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface

translate_hits = 0, untranslate_hits = 0

2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface

translate_hits = 0, untranslate_hits = 0

3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface

translate_hits = 0, untranslate_hits = 0

ciscoasa(config)# write memory

Удаление / Очистка записей в конфигурации

Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:

ciscoasa(config)# no interface vlan 30

На этом начальная настойка межсетевого экрана завершена.

Источник

Оцените статью
Adblock
detector