Меню Рубрики

Установка и настройка cisco asa

Cisco ASA. Основы. Доступ в интернет.

Рассмотрим пример подключения офиса к сети Интернет с помощью межсетевого экрана Cisco ASA. Для примера будем использовать самую младшую модель – Cisco ASA 5505. От более старших она отличается тем, что здесь присутствует встроенный коммутатор на 8 портов. Каждый из них – порт второго уровня модели OSI, на котором нельзя задать IP адреса. Чтобы получить интерфейсы 3 уровня, необходимо создать виртуальный интерфейсы Vlan, задать ip адреса на них и после этого привязать к физическим интерфейсам.

— канал в Интернет со статическим ip адресом
— несколько компьютеров в локальной сети офиса
— межсетевой экран Cisco ASA 5505
— коммутатор (используется для организации локальной сети офиса, без дополнительных настроек)

Задача: обеспечить доступ компьютеров локальной сети в Интернет.

Шаг 0. Очистка конфигурации

(Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)

Если на устройстве с заводскими настройками будет запрошен пароль для привилегированного режима (#) enable, то просто нажмите клавишу «Enter».
ciscoasa> enable
Password: /нажмите Enter/
ciscoasa#

Далее полностью очистим стартовую конфигурацию с устройства. Для этого подключаемся с помощью консольного кабеля к консольному порту устройства, заходим в командную строку и вводим следующие команды:
ciscoasa(config)# clear configure all
После чего подтверждаем удаление всей текущей конфигурации.

В отличии от маршрутизаторов Cisco перезагрузка для сброса конфигурации не требуется. После выполнения команды «clear configure all» на межсетевом экране останутся только технологические строки заводской конфигурации и можно приступать к основной настройке.

Шаг 1. Имя устройства

Задание имени устройства для удобства последующего администрирования выполняется командой hostname «название устройства»
ciscoasa# hostname FW-DELTACONFIG
FW-DELTACONFIG#

Шаг 2. Настройка интерфейсов

Необходимо настроить 2 интерфейса: внешний и внутренний.

Через внешний интерфейс outside будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые выделил Интернет провайдер.
FW-DELTACONFIG (config)#
interface Vlan1
nameif outside
security-level 0
ip address 200.150.100.2 255.255.255.252
no shut

Внутренний интерфейс inside будет настроен для локальной сети.
FW-DELTACONFIG (config)#
interface Vlan2
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
no shut

После этого необходимо привязать виртуальные интерфейсы Vlan к реальным интерфейсам Ethernet.
Привязка внешнего интерфейса outside к интерфейсу Ethernet0/0
FW-DELTACONFIG (config)#
interface Ethernet0/0
switchport access vlan 1
description — WAN —
no shut

Важно!
Обратите внимание, что строка с командой «switchport access vlan 1» не будет отображаться в конфигурации устройства (просмотр конфигурации командой «sh run»), так как Vlan 1 привязан к каждому интерфейсу по умолчанию.

Привязка внутреннего интерфейса inside к интерфейсу Ethernet0/1
FW-DELTACONFIG (config)#
interface Ethernet0/1
switchport access vlan 2
description — LAN —
no shut

Шаг 3. Настройка удаленного доступа к устройству

Для удаленного доступа администратора к устройству по протоколу SSH необходимо выполнить следующее:
Создать пароль для привилегированного режима (#). Вместо XXXXX необходимо ввести пароль.
FW-DELTACONFIG(config)#
enable password XXXXX
Создать учетную запись администратора. Вместо YYYYY необходимо ввести пароль для пользователя admin).
FW-DELTACONFIG(config)#
username admin password YYYYY privilege 15
Далее указывается метод аутентификации и генерируются ключи rsa
FW-DELTACONFIG(config)#
aaa authentication ssh console LOCAL
crypto key generate rsa modulus 1024
/подтвердите замену клавишей y
Указывается ip адрес рабочей станции администратора, с которого возможно удаленное управление через SSH, а также интерфейс, со стороны которого будут приниматься запросы (inside). При необходимости можно указать несколько адресов или даже задать сети управления.
FW-DELTACONFIG(config)#
ssh 192.168.10.100 255.255.255.255 inside
После этого доступ к межсетевому экрану по протоколу SSH будет доступен с компьютера с адресом 192.168.10.100 .

Шаг 4. Настройка шлюза по умолчанию

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(ближайший к устройству адрес провайдера) и интерфейс, через который он доступен (outside)
FW-DELTACONFIG(config)#
route outside 0.0.0.0 0.0.0.0 200.150.100.1

После этого можно проверить не только доступность оборудования провайдера, но и доступность канала связи с Интернет. Для этого необходимо запустить ping с устройства до любого адреса во внешней сети. Для примера возьмем адрес лидера на рынке сервиса icmp запросов – www.yandex.ru (93.158.134.3)
FW-DELTACONFIG# ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/8/15 ms

Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только из консоли управления Cisco ASA. Рабочие станции и устройства локальной сети все еще не имеют доступа в Интернет.

Шаг 5 Настройка трансляции адресов (NAT)

Настройка трансляции адресов различается для разных версий прошивки устройств. Версию прошивки можно узнать из вывода команды «sh ver»
FW-DELTACONFIG# sh ver
Cisco Adaptive Security Appliance Software Version 8.2(1)11

Принципы использования и настройки NAT не только для Cisco ASA, но и для маршрутизаторов описаны в статье Как использовать NAT. Прочитайте ее, если не уверены какой именно тип вам нужен.

Шаг 5.1 NAT для доступа из локальной сети наружу (PAT)

Для доступа из локальной сети в Интернет необходимо, чтобы частные (серые) адреса офисной сети были транслированы в публичный (белый) адрес.

Для версии 8.2.X и старше

Для версии 8.3.X и новее

После выполнения этих команд адреса устройств из внутренней сети будут динамически транслироваться в адрес интерфейса outside.

Важно!
Трафик можно также транслировать в определенный ip адрес (если провайдер выделил вам сеть больше, чем /30), однако в этом случае это не должен быть адрес самого интерфейса outside.

  • Либо трансляция будет в адрес внешнего интерфейса как в примере
  • Либо в другой адрес, принадлежащий сети внешнего интерфейса, но отличный от него
Читайте также:  Установка litepanel на ubuntu

Иначе NAT не будет осуществляться корректно, если вообще заработает.

Шаг 5.2 Для доступа из Интернет на адрес в локальной сети (static NAT)

Для доступа из сети Интернет внутрь локальной сети, например на веб сервер организации, необходимо настроить статическую трансляцию адресов (static NAT).

Для версии 8.2.X и старше

Важно!
Обратите внимание на последовательность интерфейсов и адресов. В скобках идет внутренний-внешний, а после них адрес внешнего-адрес внутреннго. Наоборот!

Для версии 8.3.X и новее

В этом случае любые запросы на внешний интерфейс межсетевого экрана будут переадресовываться на внутренний адрес 192.168.10.200

Для версии 8.2.X и старше

Для версии 8.3.X и новее

В этом случае запросы на внешний интерфейс межсетевого экрана только по порту TCP 80 (протокол HTTP) будут переадресовываться на внутренний адрес 192.168.10.200.

Важно!
Вместо слова interface можно указывать конкретный адрес, отличный от адреса самого интерфейса outside, однако в нашем примере это невозможно, так как по условиям провайдер предоставляет сеть на 4 адреса 200.150.100.0 /30, из которой для использования доступны и уже заняты всего два адреса: 200.150.100.1 занимает провайдер, а 200.150.100.2 настроен на внешнем интерфейсе. Соответственно доступных свободных адресов в этой сети больше нет.
Если бы была предоставлена сеть большего размера, например с тем же префиксом 200.150.100.0, но с маской подсети /29, то для использования были бы доступны 6 из 8 адресов 200.150.100.1 – 200.150.100.6. Два адреса из шести доступных были бы заняты как в примере выше, а еще 4 доступны для использования. В этом случае можно настроить трансляцию адреса сервера из локальной сети в свободный адрес из сети 200.150.100.0 /29, например в 200.150.100.3.

Для версии 8.2.X и старше

Для версии 8.3.X и новее

Важно!
Обратите внимание, что правила трансляции не открывают доступ к тем или иным ресурсам сами собой. Для этой цели необходимо также создать списки доступа (access lists) и привязать их к соответствующим интерфейсам.

Важно!
Более подробное описание настроек для настройки Static NAT также именуемой как «проброс портов» приведены в статье Cisco ASA. «Проброс портов» или static NAT.

Шаг 6. Настройка правил доступа (access list)

Дабы не загромождать материал теорией по спискам доступа и их применению, приведу пример настроек, которые будут достаточны для большинства малых офисов. Если потребуется открыть дополнительный доступ к каким-то ресурсам, то необходимо добавить строки по аналогии с имеющимися.

Важно!
Хотя все правила доступа возможно записать, используя только цифровые ip адреса, для удобства дальнейшего администрирования вначале создаются группы объектов с обозначениями и все строки правил записываются уже с их помощью. Это удобно и практично.
Начнем с access list, разрешающего доступ из внутренней сети в Интернет. Условия будут следующими:

— Каждый пользователь или устройство должны иметь доступ в Интернет для просмотра веб сайтов.
— Рабочие станции администратора и директора фирмы должны иметь доступ в Интернет без каких-либо ограничений.
— Рабочая станция ответственного сотрудника должна иметь доступ к частному ресурсу в сети по порту TCP 9443

NET_LAN – все пользователи и устройства локальной сети.
USER_CEO – адрес рабочей станции директора
USER_ADMIN – адрес рабочей станции администратора
USER_PRIVELEDGED – адрес рабочей станции сотрудника, который должен иметь некий расширенный доступ
HOST_X — адрес внешнего ресурса, к которому требуется открыть доступ.
USERS_FULL_ACCESS – группа, которой будет разрешен полный доступ в Интернет
SERVICE_HTTP_HTTPS – группа портов для веб доступа
HOST_DNS – адрес внешнего сервера DNS
SERVICE_DNS – группа портов для доступа к службам DNS
FW-DELTACONFIG(config)#
object-group network NET_LAN
network-object 192.168.10.0 255.255.255.0
object-group network USER_CEO
network-object host 192.168.10.10
object-group network USER_ADMIN
network-object host 192.168.10.100
object-group network USERS_FULL_ACCESS
group-object USERS_CEO
group-object USERS_ADMIN

object-group network USER_PRIVELEDGED
network-object host 192.168.10.50
network-object host 192.168.10.51

object-group network HOST_X
network-object host 1.1.1.1
object-group network HOST_DNS
network-object host 8.8.8.8

object-group service SERVICE_HTTP_HTTPS
service-object tcp eq http
service-object tcp eq https

object-group service SERVICE_DNS
service-object tcp eq 53
service-object udp eq 53

Создаем список доступа ACL_INSIDE_IN, в котором описываем все правила^

Полный доступ адресов из группы USERS_FULL_ACCESS в Интернет
FW-DELTACONFIG(config)#
access-list ACL_INS >ip object-group USERS_FULL_ACCESS any

Доступ адресов из группы USER_PRIVELEDGED к ресурсу с адресом из группы HOST_X по порту TCP 9443
FW-DELTACONFIG(config)#
access-list ACL_INS >tcp object-group USER_PRIVELEDGED object-group HOST_X eq 9443

Доступ в интернет по портам TCP 80(http) и TCP 443(https) для всех устройств локальной сети
FW-DELTACONFIG(config)#
access-list ACL_INS >SERVICE_HTTP_HTTPS object-group NET_LAN any

Разрешение доступа всем устройствам локальной сети к серверу DNS Google.
FW-DELTACONFIG(config)#
access-list ACL_INS >SERVICE_DNS object-group NET_LAN object-group HOST_DNS

Разрешение протокола icmp для запуска Ping с любого устройства локальной сети.
FW-DELTACONFIG(config)#
access-list ACL_INS >icmp object-group NET_LAN any

Явный запрет любых других соединений. Благодаря слову log в конце строки в журнал устройства будут попадать все попытки доступа, которые не были разрешены этим access list.
FW-DELTACONFIG(config)#
access-list ACL_INS >deny ip any any log
Последовательность строк очень важна! Вначале обрабатывается самая верхняя строка, за ней следующая и так до совпадения условия(правила) в этой строке или конца списка доступа. Если поставить запрещающее правило не в самый низ, а в середину списка, то строки после него обрабатываться не будут, а доступ будет закрыт.

Читайте также:  Установка кулисы на шевроле авео

После описания всех необходимых правил для фильтрации трафика необходимо привязать список доступа ACL_INSIDE_IN ко внутреннему интерфейсу inside. До привязки он никак не влияет на проходящий через межсетевой экран трафик. Для привязки используется следующая команда:
FW-DELTACONFIG(config)#
access-group ACL_INSIDE_IN in interface inside
Дополнительно разрешаем автоматический прием обратных пакетов icmp
FW-DELTACONFIG(config)#
policy-map global_policy
class inspection_default
inspect icmp
Для доступа извне список доступа будет меньше так как в нем нам необходимо разрешить только доступ на веб сервер офиса. Это правило будет дополнять правила трансляции адресов, а именно строку, которая транслирует внутренний адрес веб сервера в адрес внешнего интерфейса межсетевого экрана.

Создаем список доступа ACL_OUTSIDE_IN и привязываем его ко внешнему интерфейсу outside по аналогии с тем, как сделали это в примере выше.
FW-DELTACONFIG(config)#
access-list ACL_OUTS >any interface outside eq 80
access-list ACL_OUTSIDE_IN extended deny ip any any log
access-group ACL_OUTSIDE_IN in interface outside

Не забываем про статический NAT

Для версии 8.2.X и старше

Для версии 8.3.X и новее

Теперь в конфигурации присутствуют как правила трансляции (static NAT), так и строки в списках доступа (access lists), разрешающие трафик. Поэтому при обращении любого хоста из сети Интернет к адресу внешнего интерфейса межсетевого экрана outside (200.150.100.2) по порту TCP 80(http) запрос будет разрешен и трансформирован в запрос ко внутреннему адресу веб сервера фирмы (192.168.10.200).

Все описанные выше функции и настройки присутствуют в конфигурациях практически каждого межсетевого экрана Cisco ASA. Надеюсь, что этот простой пример поможет Вам. Не стесняйтесь написать мне, если у Вас возникли вопросы.

Важно!

Не забудьте сохранить конфигурацию командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1# write
Building configuration.
[OK]

Видео на английском языке о базовой настройке Cisco ASA. Немного отличается в деталях от того, что описано в статье, однако все ключевые моменты настройки выполнены точно по этой инструкции.

источник

Настройка Cisco ASA 5505

Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам.

В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:

Начальные данные:

  • межсетевого экрана;
  • интернет-провайдера (WAN).
      Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
      Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
      Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
      Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).

Подключение к Cisco ASA 5505

Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:

По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.

Далее выполняется переход к режиму конфигурирования:

ciscoasa# configure terminal

Устанавливается пароль для привилегированного режима:

ciscoasa(config)# enable password (вводится выбранный пароль)

Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:

ciscoasa(config)# clear configure all

Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:

ciscoasa(config)# config factory-default

Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.

Создание VLAN интерфейсов

По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.

Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:

ciscoasa(config)# interface vlan 1

ciscoasa(config-if)# nameif LAN

ciscoasa(config-if)# description LAN

ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

ciscoasa(config-if)# security-level 70

ciscoasa(config-if)# no shutdown

Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.

ciscoasa(config)# interface vlan 10

ciscoasa(config-if)# nameif WAN

ciscoasa(config-if)# description Internet

ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# no shutdown

Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:

ciscoasa(config)# interface vlan 20

ciscoasa(config-if)# nameif ADMLAN

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0

ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# no shutdown

Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:

ciscoasa(config)# interface vlan 30

ciscoasa(config-if)# nameif GUEST

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# no shutdown

Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:

ciscoasa(config)# show switch vlan

1 LAN down Et0/0, Et0/1, Et0/2, Et0/3

Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:

ciscoasa(config)# show interface vlan 1

Interface Vlan1 «LAN», is down, line protocol is down

Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec

MAC address 74a0.2f2a.e28d, MTU 1500

IP address 192.168.1.1, subnet mask 255.255.255.0

Traffic Statistics for «LAN»:

1 minute input rate 0 pkts/sec, 0 bytes/sec

1 minute output rate 0 pkts/sec, 0 bytes/sec

Читайте также:  Установка переработки прямогонных бензинов

1 minute drop rate, 0 pkts/sec

5 minute input rate 0 pkts/sec, 0 bytes/sec

5 minute output rate 0 pkts/sec, 0 bytes/sec

5 minute drop rate, 0 pkts/sec

Привязка VLAN к физическим интерфейсам

Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:

ciscoasa(config)# interface Ethernet0/0

ciscoasa(config-if)# description WAN

ciscoasa(config-if)# switchport access vlan 10

ciscoasa(config-if)# no shutdown

Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:

ciscoasa(config)# interface Ethernet0/1

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# switchport access vlan 20

ciscoasa(config-if)# no shutdown

Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:

ciscoasa(config)# interface Ethernet0/3

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# switchport access vlan 30

ciscoasa(config-if)# no shutdown

Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:

ciscoasa(config)# interface Ethernet0/7

ciscoasa(config-if)# description Trunk port

ciscoasa(config-if)# switchport mode trunk

ciscoasa(config-if)# switchport trunk allow vlan 1,20,30

ciscoasa(config-if)# no shutdown

Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.

Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:

ciscoasa(config)# show interface ip brief

Interface IP-Address OK? Method Status Protocol

Internal-Data0/0 unassigned YES unset up up

Internal-Data0/1 unassigned YES unset up up

Virtual0 127.0.0.1 YES unset up up

Vlan1 192.168.1.1 YES manual down down

Vlan10 10.241.109.251 YES manual up up

Vlan20 192.150.1.1 YES manual down down

Vlan30 192.130.1.1 YES manual down down

Ethernet0/0 unassigned YES unset up up

Ethernet0/1 unassigned YES unset down down

Ethernet0/2 unassigned YES unset down down

Ethernet0/3 unassigned YES unset administratively down down

Ethernet0/4 unassigned YES unset administratively down down

Ethernet0/5 unassigned YES unset administratively down down

Ethernet0/6 unassigned YES unset administratively down down

Ethernet0/7 unassigned YES unset down down

Настройка маршрутизации пакетов

Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:

ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х

Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:

ciscoasa(config)# ping 87.250.250.242

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms

Чтобы отобразились все прописанные маршруты, следует выполнить команду:

ciscoasa(config)# show route

Codes: C — connected, S — static, I — IGRP, R — RIP, M — mobile, B — BGP

D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area

N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2

E1 — OSPF external type 1, E2 — OSPF external type 2, E — EGP

i — IS-IS, L1 — IS-IS level-1, L2 — IS-IS level-2, ia — IS-IS inter area

* — candidate default, U — per-user static route, o — ODR

P — periodic downloaded static route

Gateway of last resort is 10.241.109.1 to network 0.0.0.0

C 10.241.109.0 255.255.255.0 is directly connected, WAN

S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN

Настройка DNS

Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.

ciscoasa(config)# dns domain-lookup WAN

ciscoasa(config)# dns name-server X.X.X.X

Чтобы проверить работоспособность DNS проведем ping узла ya.ru:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

Чтобы отобразить DNS-параметры нужно выполнить следующую команду:

ciscoasa(config)# show running dns

dns server-group DefaultDNS

Настройка DHCP

Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:

ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN

ciscoasa(config)# dhcpd dns X.X.X.X interface LAN

ciscoasa(config)# dhcpd enabled LAN

Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:

ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN

ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN

ciscoasa(config)# dhcpd enabled ADMLAN

Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST

ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST

ciscoasa(config)# dhcpd enabled GUEST

Для отображения всех имеющихся пулов выполняется команда:

ciscoasa(config)# show running dhcpd

dhcpd address 192.168.1.2-192.168.1.33 LAN

dhcpd dns 10.241.109.1 interface LAN

dhcpd address 192.150.1.2-192.150.1.33 ADMLAN

dhcpd dns 10.241.109.1 interface ADMLAN

dhcpd address 192.130.1.2-192.130.1.33 GUEST

Настройка NAT

Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.

Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:

ciscoasa(config)# object network OBJ_NAT_LAN

ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:

ciscoasa(config)# object network OBJ_NAT_ADMLAN

ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# object network OBJ_NAT_GUEST

ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface

Для отображения всех имеющихся правил NAT выполняется команда:

Auto NAT Policies (Section 2)

1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface

translate_hits = 0, untranslate_hits = 0

2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface

translate_hits = 0, untranslate_hits = 0

3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface

translate_hits = 0, untranslate_hits = 0

ciscoasa(config)# write memory

Удаление / Очистка записей в конфигурации

Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:

ciscoasa(config)# no interface vlan 30

На этом начальная настойка межсетевого экрана завершена.

источник

Добавить комментарий

Adblock
detector