Меню

asa 5505 настройка vlan

Рассеянный админ

Страницы

spoiler

пятница, 6 сентября 2013 г.

Минимальная настройка ASA5505

Дано: ASA5505 с чистой конфигурацией. Интернет линк с динамическим IP.
Требуется: настроить внутреннюю сеть с раздачей IP по DHCP, NAT для доступа в интернет.
Этапы настройки:

  1. Настроить Vlan’ы.
  2. Привязать Vlan к интерфейсам
  3. Настроить DHCPD и прописать маршрут по умолчанию
  4. Настроить NAT
  5. Настроить service-policy.
  6. Удаленный доступ

Настроить Vlan’ы.

interface Vlan1
description Local LAN
nameif LAN
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown

interface Vlan2
description Internet
nameif WAN
security-level 0
ip address dhcp
no shutdown

Привязать Vlan к интерфейсам.

Теперь нам необходимо указать, на каких интерфейсах какой VLAN. Как уже сказано, VLAN по умолчанию настроен на всех. Интерфейсы ASA настраиваются аналогично интерфейсам коммутатора 2го уровня:

interface Ethernet0/0

Настроить DHCPD и прописать маршрут по умолчанию

!
dhcpd address 192.168.1.2-192.168.1.254 LAN
dhcpd dns 8.8.8.8
dhcpd enable LAN

route 0 0 1.1.1.1

dhcpd address 192.168.1.1-192.168.1.254 LAN — какие адреса раздавать и в каком VLAN
dhcpd dns 8.8.8.8 — какой адрес DNS, который надо использовать. Я предпочитаю указывать гугловский.
dhcpd enable LAN — включаем раздачу адресов в конкретном VLAN.
route 0 0 1.1.1.1 — это означает маршрут на все адреса, где 1.1.1.1 next-hope, указанный вашим провайдером как маршрут по умолчанию.

Настроить NAT

object network LAN
subnet 192.168.1.0 255.255.255.0
nat (LAN,WAN) dynamic interface

Далее этот объект, в котором мы записали нашу локальную сеть мы сможем использовать при составлении списков доступа и т.д., пригодиться еще. Если вы настраиваете только что купленную ASA, то возможно NAT — правило было создано автоматически при указании security-level на vlan. Для того, что бы избежать проблем в дальнейшем, убедитесь что вы не продублировали настройки командой:

Настроить service-policy.

Как и с NATом, ASA должна при первой настройке создать правила инспектирования трафика из локальной сети в интернет. Это фактически и есть фаервол. Но иногда бывают случае когда автоматически ничего не создается, а ICMP-трафик(ping) не работает без настройки вообще. Поэтому проверим настройки:

class-map inspection_default
match default-inspection-traffic

В данной статье не буду углубляться в настройки policy-map, скажу только, что таким образом мы разрешили ходить icmp трафику
После этого привязываем эту политику к интерфейсу (можно сделать политикой для всех интерфейсов). Политика применяется на входе в интерфейс, поэтому используем LAN

service-policy global_policy interface LAN

На этом минимальная настройка закончена. Как настроить удаленный доступ, VPN — туннели будет описано в других статьях.

источник

Настройка Cisco ASA 5505

Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам.

В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:

Читайте также:  как поменять настройки usb модема

Начальные данные:

  • межсетевого экрана;
  • интернет-провайдера (WAN).
      Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
      Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
      Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
      Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).

Подключение к Cisco ASA 5505

Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:

По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.

Далее выполняется переход к режиму конфигурирования:

ciscoasa# configure terminal

Устанавливается пароль для привилегированного режима:

ciscoasa(config)# enable password (вводится выбранный пароль)

Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:

ciscoasa(config)# clear configure all

Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:

ciscoasa(config)# config factory-default

Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.

Создание VLAN интерфейсов

По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.

Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:

ciscoasa(config)# interface vlan 1

ciscoasa(config-if)# nameif LAN

ciscoasa(config-if)# description LAN

ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

ciscoasa(config-if)# security-level 70

ciscoasa(config-if)# no shutdown

Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.

ciscoasa(config)# interface vlan 10

ciscoasa(config-if)# nameif WAN

ciscoasa(config-if)# description Internet

ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# no shutdown

Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:

ciscoasa(config)# interface vlan 20

ciscoasa(config-if)# nameif ADMLAN

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0

ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# no shutdown

Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:

ciscoasa(config)# interface vlan 30

ciscoasa(config-if)# nameif GUEST

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0

ciscoasa(config-if)# security-level 50

ciscoasa(config-if)# no shutdown

Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:

ciscoasa(config)# show switch vlan

1 LAN down Et0/0, Et0/1, Et0/2, Et0/3

Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:

ciscoasa(config)# show interface vlan 1

Interface Vlan1 «LAN», is down, line protocol is down

Читайте также:  программа по установка крыши

Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec

MAC address 74a0.2f2a.e28d, MTU 1500

IP address 192.168.1.1, subnet mask 255.255.255.0

Traffic Statistics for «LAN»:

1 minute input rate 0 pkts/sec, 0 bytes/sec

1 minute output rate 0 pkts/sec, 0 bytes/sec

1 minute drop rate, 0 pkts/sec

5 minute input rate 0 pkts/sec, 0 bytes/sec

5 minute output rate 0 pkts/sec, 0 bytes/sec

5 minute drop rate, 0 pkts/sec

Привязка VLAN к физическим интерфейсам

Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:

ciscoasa(config)# interface Ethernet0/0

ciscoasa(config-if)# description WAN

ciscoasa(config-if)# switchport access vlan 10

ciscoasa(config-if)# no shutdown

Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:

ciscoasa(config)# interface Ethernet0/1

ciscoasa(config-if)# description Admins LAN

ciscoasa(config-if)# switchport access vlan 20

ciscoasa(config-if)# no shutdown

Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:

ciscoasa(config)# interface Ethernet0/3

ciscoasa(config-if)# description Guest LAN

ciscoasa(config-if)# switchport access vlan 30

ciscoasa(config-if)# no shutdown

Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:

ciscoasa(config)# interface Ethernet0/7

ciscoasa(config-if)# description Trunk port

ciscoasa(config-if)# switchport mode trunk

ciscoasa(config-if)# switchport trunk allow vlan 1,20,30

ciscoasa(config-if)# no shutdown

Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.

Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:

ciscoasa(config)# show interface ip brief

Interface IP-Address OK? Method Status Protocol

Internal-Data0/0 unassigned YES unset up up

Internal-Data0/1 unassigned YES unset up up

Virtual0 127.0.0.1 YES unset up up

Vlan1 192.168.1.1 YES manual down down

Vlan10 10.241.109.251 YES manual up up

Vlan20 192.150.1.1 YES manual down down

Vlan30 192.130.1.1 YES manual down down

Ethernet0/0 unassigned YES unset up up

Ethernet0/1 unassigned YES unset down down

Ethernet0/2 unassigned YES unset down down

Ethernet0/3 unassigned YES unset administratively down down

Ethernet0/4 unassigned YES unset administratively down down

Ethernet0/5 unassigned YES unset administratively down down

Ethernet0/6 unassigned YES unset administratively down down

Ethernet0/7 unassigned YES unset down down

Настройка маршрутизации пакетов

Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:

ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х

Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:

ciscoasa(config)# ping 87.250.250.242

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms

Чтобы отобразились все прописанные маршруты, следует выполнить команду:

ciscoasa(config)# show route

Codes: C — connected, S — static, I — IGRP, R — RIP, M — mobile, B — BGP

D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area

N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2

E1 — OSPF external type 1, E2 — OSPF external type 2, E — EGP

Читайте также:  настройка роутера fast 1744 для

i — IS-IS, L1 — IS-IS level-1, L2 — IS-IS level-2, ia — IS-IS inter area

* — candidate default, U — per-user static route, o — ODR

P — periodic downloaded static route

Gateway of last resort is 10.241.109.1 to network 0.0.0.0

C 10.241.109.0 255.255.255.0 is directly connected, WAN

S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN

Настройка DNS

Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.

ciscoasa(config)# dns domain-lookup WAN

ciscoasa(config)# dns name-server X.X.X.X

Чтобы проверить работоспособность DNS проведем ping узла ya.ru:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

Чтобы отобразить DNS-параметры нужно выполнить следующую команду:

ciscoasa(config)# show running dns

dns server-group DefaultDNS

Настройка DHCP

Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:

ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN

ciscoasa(config)# dhcpd dns X.X.X.X interface LAN

ciscoasa(config)# dhcpd enabled LAN

Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:

ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN

ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN

ciscoasa(config)# dhcpd enabled ADMLAN

Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST

ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST

ciscoasa(config)# dhcpd enabled GUEST

Для отображения всех имеющихся пулов выполняется команда:

ciscoasa(config)# show running dhcpd

dhcpd address 192.168.1.2-192.168.1.33 LAN

dhcpd dns 10.241.109.1 interface LAN

dhcpd address 192.150.1.2-192.150.1.33 ADMLAN

dhcpd dns 10.241.109.1 interface ADMLAN

dhcpd address 192.130.1.2-192.130.1.33 GUEST

Настройка NAT

Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.

Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:

ciscoasa(config)# object network OBJ_NAT_LAN

ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:

ciscoasa(config)# object network OBJ_NAT_ADMLAN

ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface

Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:

ciscoasa(config)# object network OBJ_NAT_GUEST

ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0

ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface

Для отображения всех имеющихся правил NAT выполняется команда:

Auto NAT Policies (Section 2)

1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface

translate_hits = 0, untranslate_hits = 0

2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface

translate_hits = 0, untranslate_hits = 0

3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface

translate_hits = 0, untranslate_hits = 0

ciscoasa(config)# write memory

Удаление / Очистка записей в конфигурации

Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:

ciscoasa(config)# no interface vlan 30

На этом начальная настойка межсетевого экрана завершена.

источник

Добавить комментарий

Adblock
detector