Настройка Cisco ASA 5505
Настройка Cisco ASA 5505 Межсетевые экраны Cisco ASA серии 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений Техническая
Межсетевые экраны Cisco ASA серии 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений
Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам. В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:
Начальные данные:
- Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
- Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
- Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
- Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).
Подключение к Cisco ASA 5505
Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:
По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.
Далее выполняется переход к режиму конфигурирования:
ciscoasa# configure terminal
Устанавливается пароль для привилегированного режима:
ciscoasa(config)# enable password (вводится выбранный пароль)
Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:
ciscoasa(config)# clear configure all
Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:
ciscoasa(config)# config factory-default
Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.
Создание VLAN интерфейсов
По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.
Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:
ciscoasa(config)# interface vlan 1
ciscoasa(config-if)# nameif LAN
ciscoasa(config-if)# description LAN
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# security-level 70
ciscoasa(config-if)# no shutdown
Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.
ciscoasa(config)# interface vlan 10
ciscoasa(config-if)# nameif WAN
ciscoasa(config-if)# description Internet
ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# no shutdown
Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:
ciscoasa(config)# interface vlan 20
ciscoasa(config-if)# nameif ADMLAN
ciscoasa(config-if)# description Admins LAN
ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shutdown
Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:
ciscoasa(config)# interface vlan 30
ciscoasa(config-if)# nameif GUEST
ciscoasa(config-if)# description Guest LAN
ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shutdown
Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:
ciscoasa(config)# show switch vlan
1 LAN down Et0/0, Et0/1, Et0/2, Et0/3
Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:
ciscoasa(config)# show interface vlan 1
Interface Vlan1 «LAN», is down, line protocol is down
Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
MAC address 74a0.2f2a.e28d, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
Traffic Statistics for «LAN»:
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Привязка VLAN к физическим интерфейсам
Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# description WAN
ciscoasa(config-if)# switchport access vlan 10
ciscoasa(config-if)# no shutdown
Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:
ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# description Admins LAN
ciscoasa(config-if)# switchport access vlan 20
ciscoasa(config-if)# no shutdown
Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:
ciscoasa(config)# interface Ethernet0/3
ciscoasa(config-if)# description Guest LAN
ciscoasa(config-if)# switchport access vlan 30
ciscoasa(config-if)# no shutdown
Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:
ciscoasa(config)# interface Ethernet0/7
ciscoasa(config-if)# description Trunk port
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allow vlan 1,20,30
ciscoasa(config-if)# no shutdown
Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.
Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:
ciscoasa(config)# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Virtual0 127.0.0.1 YES unset up up
Vlan1 192.168.1.1 YES manual down down
Vlan10 10.241.109.251 YES manual up up
Vlan20 192.150.1.1 YES manual down down
Vlan30 192.130.1.1 YES manual down down
Ethernet0/0 unassigned YES unset up up
Ethernet0/1 unassigned YES unset down down
Ethernet0/2 unassigned YES unset down down
Ethernet0/3 unassigned YES unset administratively down down
Ethernet0/4 unassigned YES unset administratively down down
Ethernet0/5 unassigned YES unset administratively down down
Ethernet0/6 unassigned YES unset administratively down down
Ethernet0/7 unassigned YES unset down down
Настройка маршрутизации пакетов
Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:
ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х
Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:
ciscoasa(config)# ping 87.250.250.242
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms
Чтобы отобразились все прописанные маршруты, следует выполнить команду:
ciscoasa(config)# show route
Codes: C — connected, S — static, I — IGRP, R — RIP, M — mobile, B — BGP
D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area
N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2
E1 — OSPF external type 1, E2 — OSPF external type 2, E — EGP
i — IS-IS, L1 — IS-IS level-1, L2 — IS-IS level-2, ia — IS-IS inter area
* — candidate default, U — per-user static route, o — ODR
P — periodic downloaded static route
Gateway of last resort is 10.241.109.1 to network 0.0.0.0
C 10.241.109.0 255.255.255.0 is directly connected, WAN
S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN
Настройка DNS
Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.
ciscoasa(config)# dns domain-lookup WAN
ciscoasa(config)# dns name-server X.X.X.X
Чтобы проверить работоспособность DNS проведем ping узла ya.ru:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Чтобы отобразить DNS-параметры нужно выполнить следующую команду:
ciscoasa(config)# show running dns
dns server-group DefaultDNS
Настройка DHCP
Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:
ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN
ciscoasa(config)# dhcpd dns X.X.X.X interface LAN
ciscoasa(config)# dhcpd enabled LAN
Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:
ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN
ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN
ciscoasa(config)# dhcpd enabled ADMLAN
Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:
ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST
ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST
ciscoasa(config)# dhcpd enabled GUEST
Для отображения всех имеющихся пулов выполняется команда:
ciscoasa(config)# show running dhcpd
dhcpd address 192.168.1.2-192.168.1.33 LAN
dhcpd dns 10.241.109.1 interface LAN
dhcpd address 192.150.1.2-192.150.1.33 ADMLAN
dhcpd dns 10.241.109.1 interface ADMLAN
dhcpd address 192.130.1.2-192.130.1.33 GUEST
Настройка NAT
Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.
Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:
ciscoasa(config)# object network OBJ_NAT_LAN
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface
Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:
ciscoasa(config)# object network OBJ_NAT_ADMLAN
ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface
Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:
ciscoasa(config)# object network OBJ_NAT_GUEST
ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface
Для отображения всех имеющихся правил NAT выполняется команда:
Auto NAT Policies (Section 2)
1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface
translate_hits = 0, untranslate_hits = 0
2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface
translate_hits = 0, untranslate_hits = 0
3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface
translate_hits = 0, untranslate_hits = 0
ciscoasa(config)# write memory
Удаление / Очистка записей в конфигурации
Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:
ciscoasa(config)# no interface vlan 30
На этом начальная настойка межсетевого экрана завершена.