Меню Рубрики

Установка cisco asa 5510

Cisco ASA: первичная настройка

Итак, вам достался в наследство межсетевой экран Cisco ASA. Руки чешутся подключить, настроить и заставить выполнять своё предназначение. С какой стороны к нему подойти и с чего начать?
При написании данной статьи использовался межсетевой экран Cisco ASA 5520 с версией системы 9.1 и чистой (стандартной) конфигурацией.

Настройка Cisco ASA с нуля:
1. Подключение через COM-порт
2. Настройка интерфейса управления и доступа по ssh
3. Настройка доступа через ASDM
4. Обновление системы и ASDM
5. Настройка интерфейсов
6. Настройка NAT во внешнюю сеть и ping
7. Настройка NAT снаружи во внутреннюю сеть до сервера
8. Тестирование прохождения пакетов

1. Подключение через COM-порт

Если Вы только взяли в руки Cisco ASA, то для начала работы к ней нужно подключиться через COM-порт (голубенький кабель RJ45 — DB9). Настройки порта обычно такие:
Bits per sec: 9600
Data bits: 8
Parity: none
Stop bits: 1
Flow control: none

У Cisco ASA, как и у других устройств Cisco два режима: пользовательский и привилегированный. Перейдите в привилегированный режим командой enable (можно использовать сокращение en):

У «свежей» или сброшенной к заводским настройкам Cisco ASA пароль на привилегированный режим ещё не установлен. Можно приступать к настройке: configure terminal или conf t.

Все остальные команды вводятся в режиме конфигурации, если не указано другое. Команда exit, выполненная в режиме конфигурирования, вернет вас назад.
В списках команд у меня имеются комментарии, начинающиеся с символа #, их вводить НЕ надо, они для вас, циска их не поймет…

2. Настройка интерфейса управления и доступа по ssh

Cisco ASA имеет специальный интерфейс для управления. Рекомендуется иметь отдельную сеть для управления и контроля всего оборудования и серверов, недоступную для простых пользователей.

Теперь можете подключиться к ASA по сети через ssh, можно использовать putty или linux-консоль:

3. Настройка доступа через ASDM

Кроме настройки Cisco ASA через консоль, имеется альтернативный вариант: Cisco Adaptive Security Device Manager (ASDM). Функционал ASDM дублирует возможности CLI и сделан больше для тех кто кликает мышкой. Некоторые операции легче выполнять в ASDM, но для большинства настроек удобнее, нагляднее и проще использовать именно CLI. Рассмотрите оба варианта, выберите наиболее подходящий под ваши задачи.

Для доступа к ADSM наберите в браузере https://192.168.1.100

4. Обновление системы и ASDM

Посмотреть текущие версии ПО можете так:

5. Настройка интерфейсов

Для образца возьмём самую распространённую схему сети:

  1. внешняя сеть с белым ip (outside);
  2. выделенная сеть с серверами (dmz): 192.168.20.0/29;
  3. локальная сеть с пользователями (lan): 192.168.10.0/24;

По умолчанию Cisco ASA будет пропускать трафик из зоны с более высоким значением security-level в зону с более низким. Почесав затылок, распределяем значения security-level: outside — 0, dmz — 50, lan — 100. Причем сами цифры значения не имеют, главное — их отношения (больше, меньше).
Порты на оборудовании — очень ценная вещь, особенно на таком. Чтобы их сэкономить можно создать несколько подинтерфейсов:

6. Настройка NAT во внешнюю сеть и ping

Доступ во внешнюю сеть разрешен согласно выставленным security-level, но чтобы всё заработало вы должны сделать NAT:

Готово, ваши пользователи и сервера получили доступ к Интернет. Если нужно разрешить использование icmp, то выполните следующее:

7. Настройка NAT снаружи во внутреннюю сеть до сервера

Вариант 1. Нужно пробросить один порт, например, 80 до сервера в dmz:

Вариант 2. Нужно пробросить два порта или больше. Просто добавив новое правило nat к уже существующему, вы перепишете им первое правило, поэтому нужно всё продублировать для каждого порта:

Вариант 3. Пробрасываем все порты, на внутренний сервер (завернуть что-либо на второй сервер уже не получится):

8. Тестирование прохождения пакетов

Можете тестировать настройки так: «Николай, попробуй выйти на ya.ru… Не работает? Ясно, сейчас посмотрю…». Более правильный подход, более быстрый и информативный — packet-tracer! Данный инструмент генерирует пакет и поэтапно показывает порядок его обработки.
Генерируем пакет из внутренней сети (от пользователя) во внешнюю:

Генерируем пакет из внешней сети на внешний интерфейс для www-сервера в dmz:

Для начала работы выполненных настроек вполне достаточно… но только для начала. Вы не должны рассматривать данную подборку как руководство к действию, это только рекомендации с чего можно начать, своего рода «quick start guide». А что тогда дальше? На этот вопрос однозначного ответа нет. Ответ находится в:

  1. организации вашей сети (сейчас и в перспективе) и месте Cisco ASA в ней;
  2. детальном изучении документации, статей, обзоров: какие из поддерживаемых технологий можно задействовать;
  3. специфика вашей организации: какие уровни безопасности и доступности сервисов необходимы;
  4. и т.п.

22 thoughts on “ Cisco ASA: первичная настройка ”

Спасибо! Пригодилось.
А подскажите, как настроить NAT с нескольких внешних IP из одной подсети на внутренние ресурсы?
Например:
172.16.13.72 (outside) 192.168.154.0/24 (lan1) сервисы для внешних клиентов
172.16.13.73 (outside) 192.168.200.0/24 (lan2) доступ в интернет для пользователей

Чтобы не тратить Ваше время на распросы, нарисуйте схемку от руки, укажите интерфейсы, сети и что хотите получить.

Спасибо за отклик!
Разобрался.
Вот пример:
nat (outside,lan) source dynamic any interface destination static WAN_IP_75 LAN_WIN7

Аналогично с другим «белым» ip на другой внутренний хост/подсеть.

Здравствуйте. Меня зовут Сергей. Работаю учителем в школе и по совместительству инженером. У нас в новой школе поставили новое оборудование. Не могли бы Вы помочь советом, как его настроить. Бьюсь уже который день.
Изначально было: ADSL модем ASUS N-10 c роутером и вифи + несколько хабов, неуправляемых коммутаторов и точек доступа. Сеть была не очень большой и он все тянул. Т.е. он работал в режиме PPPoe и раздавал по dhcp адреса всем. Вроде как роутер он хороший, но я побаиваюсь, что нагрузка на него довольна большая.
Сейчас пока что: ASUS (pppoe, dhcp) 192.168.1.10-> Edge Swith 48 750w (.17)-> неуправляемые коммутаторы, точки доступа (.20, .30, .50) и 2 блока ip камер (.2 и .3). Камеры подключены к Edge с POE (.101 — .126) и к нему же компьютеры (.11 — .99). Все это он бедный один тянет и все в одной подсети.
Есть в наличии Cisco asa 5520. Я читал по форумам, что было бы лучше модем использовать в бридже с cisco, а он уже был бы dhcp для компьютеров и хотелось бы загнать в отдельный vlan камеры. Т.е. сделать бы adsl(bridge) ->cisco -> Edge -> и там уже vlan для компов и vlan для камер. Но знаний не очень хватает к моему сожалению, по этому и обращаюсь за помощью.
Сам я уже спаял консольный провод, нашел старый комп с com портом =). Настроил на g0/0 WAN, пробовал подключить модем в бридж через asdm (вроде работал), на g0/1 lan с DHCP, m0/0 — для подключения ASDM, ssh (долго бился, чтоб оно заработало на win 7 =)) ). Можете подсказать, как организовать отдельные vlan-ы для камер и компьютеров. Уже голова кипит.
Извините за столько много букв =) Надеюсь на Вашу помощь или совет. Заранее спасибо!

Читайте также:  Установкой или обновлением драйвера тачпада

Добрый день! ASA 5520 в школе с небольшой сетью это конечно перебор. Тем более что в школе задач для него придумать сложно (но можно).
Для настройки VLAN нужно создать подинтерфейс:
interface GigabitEthernet0/1.10
vlan 10
nameif lan
security-level 100
ip address 192.168.10.1 255.255.255.0
exit

Ну вот как то так. Не зря же стоит в стойке, пусть пашет, раз купили.
В принципе наверное можно и без Vlan-ов обойтись. Я сделал g0/0 — WAN (ADSL), g0/1 — LAN(192.168.10.1 dhcp), g0/2 — CAM (192.168.1.1 dhcp) . Вопрос в чем. Я их воткнул в Edge Switch, как мне его настроить? На нем можно vlan создать и привязать к нему порты камер и порт g0/2, так что ли?

Все можно настроить, нужно только много читать и пробовать.
Жирный минус тому, кто выбирал оборудование… необоснованные траты.

Добрый день.
Подскажите , пожалуйста. Есть ASA 5510 за ней расположен сервер и определенный ресурс который общается с внешним миром по определенному порту. Никак не могу настроить проброс порта с внешнего мира на этот порт.
по схеме:
internet (все адреса port 40098)-Asa5510-сервер (192.168.1.21 port 198)

Версия Асы
Cisco Adaptive Security Appliance Software Version 8.4(4)1
Device Manager Version 6.4(9)

Ну, если по пункту 7 все варианты не работают, то вопрос: а что конкретно делаете? В статье используется версия 9.1

Добрый день!Спасибо за статью очень информативно и познавательно.Подскажите пожалуйста,что делать в ситуаций когда есть ASA 5512 раздающая сеть 192.168.1.0/24 и есть микротик раздающий сеть 10.0.0.0/8 .Физика общая : ASA соединенна с catalyst 2960 в который воткнут мироктик имеющий ip адрес 192.168.1.27.Нужно,чтобы из сети 192.168.1.0/24 иметь доступ ко всему оборудованию в сеть 10.0.0.0/8.На ASA прописал static route 10.0.0.0 255.0.0.0 192.168.1.27 после чего ping с asa на любое устройство сети 10.0.0.0/8 начало пинговаться,но если я с любого рабочего места пытаются сети 192.168.1.0/24 пинги не проходят. Я понимаю ,что затык где то в правилах firewall или nat на ASA, но из-за малоопытности не понимаю какие именно правила прохождения трафика нужны.На Микротике никаких запрещающих правил нет из сети 10.0.0.0/8 спокойно имею доступ к любому оборудованию в сети 192.168.1.0/24. Заранее спасибо.

Если вопрос еще актуален, то набросайте рисунок сети с указанием портов оборудования и ip, а также список правил FW

источник

Настройка Cisco ASA 5510

Cisco ASA 5510 Security Appliance относится к межсетевым экранам, популярной линейки ASA 5500. Эти устройства гарантируют высокий уровень безопасности передачи данных в сетевой среде бизнес предприятий среднего и малого масштабного уровня. Настройка PPPoE позволит поддерживать также и безопасный доступ к глобальной сети интернет из компьютеров сотрудников компании.

Сетевые экраны предлагаются конечным пользователям со стандартной лицензией Base license или с расширенной лицензией Security Plus. Последний вариант лицензии раскрывает возможность получения нового уровня производительности ASA, если сравнивать с теми возможностями, которые доступны через Base license. Если стандартная лицензия позволяет поддерживать до 50.000 соединений, то с приобретением Security Plus можно получить брандмауэр, который обеспечит защиту 130.000 соединений. Также увеличено и максимальное число VLAN. Если раньше было доступно только 50, то с новой лицензией это количество вырастает в два раза и составляет 100.

Cisco ASA 5510 владеет 5-ю портами ASA, которые в базовой лицензии могут поддерживать только скорость 10/100Мбит/с, а в лицензии Security Plus она вырастает до 10/100/1000Мбит/с.

После приобретения лицензии Security Plus она нуждается в активации. Для этого нужно выполнить следующие команды:

telecombookASA#copy running startup

Читайте также:  Установка радиатора на geely

Далее рассмотрим пример настройки доступа к сети интернет. Предоставляющий информационные услуги интернет-провайдер выделил для пользователя один статический IP-адрес 77.77.77.1. Для внутренней сети будет задействовано пространство 172.16.10.0/24. Для WAN используется интерфейс Ethernet 0/0, а для подключения устройств внутри сети – интерфейс Ethernet 0/1.

Согласно логике, все устройства внутренней сетевой конфигурации будут входить в VLAN 10 и потребуется задействовать интерфейс Ethernet 0/1.10. Настойка ASA будет осуществляться таким образом, чтобы происходила автоматическая раздача IP-адресов на рабочие станции. Для этого будет использоваться протокол DHCP. Проведем настройку NAT(PAT) для конфигурации внутренняя–внешняя сеть.

Топология сети будет иметь следующий вид:

Начальная настройка предусматривает настройку пароля для доступа к глобальной конфигурации. Для этого используется команда enable password MyPass, тут MyPass является паролем доступа к устройству.

telecombookASA(config)#enable password MyPass

Чтобы настроить внешний интерфейс используется команда interface Ethernet0/0. Имя задается через команду nameif outside, показатель уровня безопасности security-level 0, IP адрес – ip address 77.77.77.1 255.255.255.252.

telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252

Чтобы провести настройку внутреннего интерфейса Ethernet0/1.10 и перевести его в trunc 802.1q для VLAN 10 следует реализовать следующий блок:

telecombookASA(config-if)#no ip address

telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0

Настройка PAT

telecombookASA(config)#global (outside) 1 interface

telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

Настройка маршрута по умолчанию:

telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

!*1 – административная дистанция.

Настройка DHCP-сервера на ASA

telecombookASA(config)#dhcpd dns 88.88.88.20

telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside

telecombookASA(config)#dhcpd enable inside

Полный конфиг имеет следующий вид:

telecombookASA(config)#enable password MyPass

telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252

telecombookASA(config-if)#no ip address

telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0

telecombookASA(config)#global (outside) 1 interface

telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

telecombookASA(config)#dhcpd dns 88.88.88.20

telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside

источник

Настройка cisco ASA 5510 + security module ASA-SSM-CSC-10 + NAT

Имеется один реальный ip (1.1.1.1), три внутренние подсети 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24. Так же имеется дама из бухгалтерии у которой должен работать клиет-банк через наш NAT. SSM-CSC-10 модуль подключен патч-кордом в порт асы f0/3.

Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.

Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.

Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.

  • Активируем root аккаунт в модуле
  • Заворачиваем NAT-ом tcp порт, например 5555, на ssh порт модуля (В нашем примере у модуля будет ip 192.168.1.1 и порт ssh 22)
  • Разрешаем tcp порт 5555 в access-list
  • Подключаемся извне по ssh на порт 5555. И вуаля попадаем в bash консоль модуля.
  • Дальше заветная команда telnet

Подключение к секьюрити модулю:

Вот так выглядит мастер настроек, все интуитивно понятно. Вам надо будет активировать root аккаунт и прописать ip модулю (192.168.1.1/24) и default route 192.168.1.254

Еще несколько полезных команд для работы с модулем:

Далее нам надо будет добавить правило в access-list для tcp порта 5555 и прописать PAT (NAT) для доступа по ssh к нашему модулю. Эту работу оставляю Вам .(Ниже будут аналогичные примеры).

Настройка интерфейсов ASA
Внешний интерфейс:

Внутренняя wi-fi сеть VLAN 110:

Сеть бухгалтерии Vlan 120:

Менеджмент интерфейс для управления свичами и wi-fi Vlan 999:

Интерфейс смотрящий в ssm модуль:

где 100 это группа NAT, всего групп 2147483647. Не забываем что в одной группе помещается всего 65536 соединений, если у вас в реальном времени натится больше 1000 “абонентов “, то целесообразно разнести части абонентов в разные группы NAT.

Вешаем наш accsess-list на внешний интерфейс:

Заворачиваем www и почту на проверку в секьюрити модуль:

Настроим PAT для доступа через веб интерфейс к секьюрити модулю, по умолчанию порт 8443:

После этого можно будет попасть из вне на модуль через браузер https://внешний_айпи:8443

И наконец разберемся с нашим клиент-банком.
Тут будет два случая:
1) Клиент-банк работает через vpn соединение;
2) Клиент-банк работает по определенному tcp порту, в нашем случае это порт 7521.

Для первого случая воспользуемся inspect политикой для pptp протокола. Очень удобная и необходимая штука. Это аналогично модулю insmod ip_nat_pptp для iptables в linux.

В итоге после применения этой политики asa будет пропускать vpn соединение в “мир”.

Теперь второй случай с прозрачным пробросом tcp порта 7521 к бухгалтеру на машину.

Настроим DHCP server для бухгалтерии

Настроим DHCP server для wi-fi:

Конец
Всем спасибо за внимание! Надеюсь расписал понятно.

источник

ЗАПИСКИ АДМИНИСТРАТОРА FREEBSD

Главная » Cisco IOS » Настройка Cisco ASA 5510 c демилиторизованной зоной

Настройка Cisco ASA 5510 c демилиторизованной зоной

для разрешения работы серверов и пользователей локальной сети предприятия.

(Интернетовские типа 62.ххх) адреса и работают через

. Данные же пользователей пропускаем через

Сервера имеют две сетевые карты: одна — в локальной сети, другая — Интернет, и управляются через локальную сеть. Поэтому доступ из локальной сети в DMZ не настроен, ибо не нужен.

Читайте также:  Установка вмт мерседес w124

Образец конфигурации дан ниже.

enable password 4аееoLOxxxxxxjMx encrypted

passwd k0a6sN9ExxxxxxxxzV encrypted

! Описание интерфейса, смотрящего в Internet

ip address 213.xxx.xxx.194 255.255.255.240

! Описание интерфейса, смотрящего в локальную сеть

ip address 10.10.10.20 255.255.255.0

! Описание интерфейса, смотрящего в сеть серверов (DMZ)

ip address 62.xxx.xxx.177 255.255.255.240

Этот интерфейс выключен( не привязан к локальной сети). Использовался при

!первоначальной настройке Cisco

ip address 192.168.1.1 255.255.255.0

! Выставляем зону и время. Необходимо для логов.

clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00

dns server-group DefaultDNS

! Лист доступа в демилиторизованную зону к серверам. Входящий трафик.

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.180 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.181 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.178 eq domain

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq smtp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq pop3

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq imap4

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq 8081

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.185 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq ftp-data

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.186 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.189 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq domain

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.179 eq https

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq smtp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq pop3

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.182 eq imap4

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.184 eq rtsp

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.187 eq www

access-list acl_in_dmz extended permit tcp any host 62.xxx.xxx.188 eq www

! Лист доступа для серверов из демилиторизованной зоны. Исходящий трафик.

access-list acl_out_dmz extended permit tcp any any

access-list acl_out_dmz extended permit udp any any

access-list acl_out_dmz extended permit icmp any any

access-list acl_out_dmz extended deny tcp host 62.xxx.19.76 host 213.xxx.36.194 eq 135

access-list acl_out_dmz extended deny tcp host 87.xxx.95.11 host 213.xxx.36.194 eq ftp

!Лист доступа для пользователей локальной сети.

! Разрешено все для исходящего трафика.

access-list acl_out_inside extended permit tcp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.40.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit tcp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit icmp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.10.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.20.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.110.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.50.0 255.255.255.0 any

access-list acl_out_inside extended permit udp 10.10.40.0 255.255.255.0 any

logging trap notifications

logging asdm informational

logging host inside 10.10.10.4

icmp unreachable rate-limit 1 burst-size 1

global (outside) 1 interface

! Настройка NAT для локальной сети

! Настройка static для серверов

static (dmz,outside) 62.xxx.xxx.180 62.xxx.xxx.180 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.181 62.xxx.xxx.181 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.178 62.xxx.xxx.178 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.179 62.xxx.xxx.179 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.184 62.xxx.xxx.184 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.185 62.xxx.xxx.185 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.186 62.xxx.xxx.186 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.189 62.xxx.xxx.189 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.187 62.xxx.xxx.187 netmask 255.255.255.255

static (dmz,outside) 62.xxx.xxx.188 62.xxx.xxx.188 netmask 255.255.255.255

! Привязываем access-list через access-group к интерфейсам.

access-group acl_in_dmz in interface outside

access-group acl_out_inside in interface inside

access-group acl_out_dmz in interface dmz

! Прописываем маршрутизацию для интерфейсов.

route outside 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1

route inside 10.10.20.0 255.255.255.0 10.10.10.10 1

route inside 10.10.40.0 255.255.255.0 10.10.10.10 1

route inside 10.10.50.0 255.255.255.0 10.10.10.10 1

route inside 10.10.110.0 255.255.255.0 10.10.10.10 1

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

! Разрешаем работу через WEB морду из локальной сети.

http 10.10.10.0 255.255.255.0 inside

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

! Разрешаем работу telnet и ssh по локальной сети.

telnet 10.10.10.0 255.255.255.0 inside

ssh 10.10.10.0 255.255.255.0 inside

ssh 10.10.10.71 255.255.255.255 inside

dhcpd address 192.168.1.2-192.168.1.254 management

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

! Сервер времени и пользователь для WEB морды.

ntp server 10.10.10.3 source inside

username admin password trAp5eVxxxxxxnv encrypted privilege 15

источник

Добавить комментарий

Adblock
detector