Меню

asa 5510 настройка rdp

Cisco ASA: первичная настройка

Итак, вам достался в наследство межсетевой экран Cisco ASA. Руки чешутся подключить, настроить и заставить выполнять своё предназначение. С какой стороны к нему подойти и с чего начать?
При написании данной статьи использовался межсетевой экран Cisco ASA 5520 с версией системы 9.1 и чистой (стандартной) конфигурацией.

Настройка Cisco ASA с нуля:
1. Подключение через COM-порт
2. Настройка интерфейса управления и доступа по ssh
3. Настройка доступа через ASDM
4. Обновление системы и ASDM
5. Настройка интерфейсов
6. Настройка NAT во внешнюю сеть и ping
7. Настройка NAT снаружи во внутреннюю сеть до сервера
8. Тестирование прохождения пакетов

1. Подключение через COM-порт

Если Вы только взяли в руки Cisco ASA, то для начала работы к ней нужно подключиться через COM-порт (голубенький кабель RJ45 — DB9). Настройки порта обычно такие:
Bits per sec: 9600
Data bits: 8
Parity: none
Stop bits: 1
Flow control: none

У Cisco ASA, как и у других устройств Cisco два режима: пользовательский и привилегированный. Перейдите в привилегированный режим командой enable (можно использовать сокращение en):

У «свежей» или сброшенной к заводским настройкам Cisco ASA пароль на привилегированный режим ещё не установлен. Можно приступать к настройке: configure terminal или conf t.

Все остальные команды вводятся в режиме конфигурации, если не указано другое. Команда exit, выполненная в режиме конфигурирования, вернет вас назад.
В списках команд у меня имеются комментарии, начинающиеся с символа #, их вводить НЕ надо, они для вас, циска их не поймет…

2. Настройка интерфейса управления и доступа по ssh

Cisco ASA имеет специальный интерфейс для управления. Рекомендуется иметь отдельную сеть для управления и контроля всего оборудования и серверов, недоступную для простых пользователей.

Теперь можете подключиться к ASA по сети через ssh, можно использовать putty или linux-консоль:

3. Настройка доступа через ASDM

Кроме настройки Cisco ASA через консоль, имеется альтернативный вариант: Cisco Adaptive Security Device Manager (ASDM). Функционал ASDM дублирует возможности CLI и сделан больше для тех кто кликает мышкой. Некоторые операции легче выполнять в ASDM, но для большинства настроек удобнее, нагляднее и проще использовать именно CLI. Рассмотрите оба варианта, выберите наиболее подходящий под ваши задачи.

Для доступа к ADSM наберите в браузере https://192.168.1.100

4. Обновление системы и ASDM

Посмотреть текущие версии ПО можете так:

Проверить наличие более свежих версий ПО и их поддержку вашей циской можно на официальном сайте: https://software.cisco.com/download/type.html?mdfid=280582808 , а вот скачать их можно только имея действующую лицензию.
Для загрузки и установки файлов обновлений на Cisco ASA проще использовать ASDM:
Загрузка: Tools -> File Management… -> File Transfer
Либо сразу с установкой: Tools -> Upgrade Software from Local Computer
Загрузка файла с командной строки выполняется одной командой (на своём компьютере поднимите сервер tftp, для windows подойдёт Tftpd32):

5. Настройка интерфейсов

Для образца возьмём самую распространённую схему сети:

  1. внешняя сеть с белым ip (outside);
  2. выделенная сеть с серверами (dmz): 192.168.20.0/29;
  3. локальная сеть с пользователями (lan): 192.168.10.0/24;
Читайте также:  данные для настройки apn mts

По умолчанию Cisco ASA будет пропускать трафик из зоны с более высоким значением security-level в зону с более низким. Почесав затылок, распределяем значения security-level: outside — 0, dmz — 50, lan — 100. Причем сами цифры значения не имеют, главное — их отношения (больше, меньше).
Порты на оборудовании — очень ценная вещь, особенно на таком. Чтобы их сэкономить можно создать несколько подинтерфейсов:

6. Настройка NAT во внешнюю сеть и ping

Доступ во внешнюю сеть разрешен согласно выставленным security-level, но чтобы всё заработало вы должны сделать NAT:

Готово, ваши пользователи и сервера получили доступ к Интернет. Если нужно разрешить использование icmp, то выполните следующее:

7. Настройка NAT снаружи во внутреннюю сеть до сервера

Вариант 1. Нужно пробросить один порт, например, 80 до сервера в dmz:

Вариант 2. Нужно пробросить два порта или больше. Просто добавив новое правило nat к уже существующему, вы перепишете им первое правило, поэтому нужно всё продублировать для каждого порта:

Вариант 3. Пробрасываем все порты, на внутренний сервер (завернуть что-либо на второй сервер уже не получится):

8. Тестирование прохождения пакетов

Можете тестировать настройки так: «Николай, попробуй выйти на ya.ru… Не работает? Ясно, сейчас посмотрю…». Более правильный подход, более быстрый и информативный — packet-tracer! Данный инструмент генерирует пакет и поэтапно показывает порядок его обработки.
Генерируем пакет из внутренней сети (от пользователя) во внешнюю:

Генерируем пакет из внешней сети на внешний интерфейс для www-сервера в dmz:

Для начала работы выполненных настроек вполне достаточно… но только для начала. Вы не должны рассматривать данную подборку как руководство к действию, это только рекомендации с чего можно начать, своего рода «quick start guide». А что тогда дальше? На этот вопрос однозначного ответа нет. Ответ находится в:

  1. организации вашей сети (сейчас и в перспективе) и месте Cisco ASA в ней;
  2. детальном изучении документации, статей, обзоров: какие из поддерживаемых технологий можно задействовать;
  3. специфика вашей организации: какие уровни безопасности и доступности сервисов необходимы;
  4. и т.п.

22 thoughts on “ Cisco ASA: первичная настройка ”

Спасибо! Пригодилось.
А подскажите, как настроить NAT с нескольких внешних IP из одной подсети на внутренние ресурсы?
Например:
172.16.13.72 (outside) 192.168.154.0/24 (lan1) сервисы для внешних клиентов
172.16.13.73 (outside) 192.168.200.0/24 (lan2) доступ в интернет для пользователей

Чтобы не тратить Ваше время на распросы, нарисуйте схемку от руки, укажите интерфейсы, сети и что хотите получить.

Спасибо за отклик!
Разобрался.
Вот пример:
nat (outside,lan) source dynamic any interface destination static WAN_IP_75 LAN_WIN7

Аналогично с другим «белым» ip на другой внутренний хост/подсеть.

Здравствуйте. Меня зовут Сергей. Работаю учителем в школе и по совместительству инженером. У нас в новой школе поставили новое оборудование. Не могли бы Вы помочь советом, как его настроить. Бьюсь уже который день.
Изначально было: ADSL модем ASUS N-10 c роутером и вифи + несколько хабов, неуправляемых коммутаторов и точек доступа. Сеть была не очень большой и он все тянул. Т.е. он работал в режиме PPPoe и раздавал по dhcp адреса всем. Вроде как роутер он хороший, но я побаиваюсь, что нагрузка на него довольна большая.
Сейчас пока что: ASUS (pppoe, dhcp) 192.168.1.10-> Edge Swith 48 750w (.17)-> неуправляемые коммутаторы, точки доступа (.20, .30, .50) и 2 блока ip камер (.2 и .3). Камеры подключены к Edge с POE (.101 — .126) и к нему же компьютеры (.11 — .99). Все это он бедный один тянет и все в одной подсети.
Есть в наличии Cisco asa 5520. Я читал по форумам, что было бы лучше модем использовать в бридже с cisco, а он уже был бы dhcp для компьютеров и хотелось бы загнать в отдельный vlan камеры. Т.е. сделать бы adsl(bridge) ->cisco -> Edge -> и там уже vlan для компов и vlan для камер. Но знаний не очень хватает к моему сожалению, по этому и обращаюсь за помощью.
Сам я уже спаял консольный провод, нашел старый комп с com портом =). Настроил на g0/0 WAN, пробовал подключить модем в бридж через asdm (вроде работал), на g0/1 lan с DHCP, m0/0 — для подключения ASDM, ssh (долго бился, чтоб оно заработало на win 7 =)) ). Можете подсказать, как организовать отдельные vlan-ы для камер и компьютеров. Уже голова кипит.
Извините за столько много букв =) Надеюсь на Вашу помощь или совет. Заранее спасибо!

Читайте также:  как сбросить смартфон lenovo до заводских настроек

Добрый день! ASA 5520 в школе с небольшой сетью это конечно перебор. Тем более что в школе задач для него придумать сложно (но можно).
Для настройки VLAN нужно создать подинтерфейс:
interface GigabitEthernet0/1.10
vlan 10
nameif lan
security-level 100
ip address 192.168.10.1 255.255.255.0
exit

Ну вот как то так. Не зря же стоит в стойке, пусть пашет, раз купили.
В принципе наверное можно и без Vlan-ов обойтись. Я сделал g0/0 — WAN (ADSL), g0/1 — LAN(192.168.10.1 dhcp), g0/2 — CAM (192.168.1.1 dhcp) . Вопрос в чем. Я их воткнул в Edge Switch, как мне его настроить? На нем можно vlan создать и привязать к нему порты камер и порт g0/2, так что ли?

Все можно настроить, нужно только много читать и пробовать.
Жирный минус тому, кто выбирал оборудование… необоснованные траты.

Добрый день.
Подскажите , пожалуйста. Есть ASA 5510 за ней расположен сервер и определенный ресурс который общается с внешним миром по определенному порту. Никак не могу настроить проброс порта с внешнего мира на этот порт.
по схеме:
internet (все адреса port 40098)-Asa5510-сервер (192.168.1.21 port 198)

Версия Асы
Cisco Adaptive Security Appliance Software Version 8.4(4)1
Device Manager Version 6.4(9)

Ну, если по пункту 7 все варианты не работают, то вопрос: а что конкретно делаете? В статье используется версия 9.1

Добрый день!Спасибо за статью очень информативно и познавательно.Подскажите пожалуйста,что делать в ситуаций когда есть ASA 5512 раздающая сеть 192.168.1.0/24 и есть микротик раздающий сеть 10.0.0.0/8 .Физика общая : ASA соединенна с catalyst 2960 в который воткнут мироктик имеющий ip адрес 192.168.1.27.Нужно,чтобы из сети 192.168.1.0/24 иметь доступ ко всему оборудованию в сеть 10.0.0.0/8.На ASA прописал static route 10.0.0.0 255.0.0.0 192.168.1.27 после чего ping с asa на любое устройство сети 10.0.0.0/8 начало пинговаться,но если я с любого рабочего места пытаются сети 192.168.1.0/24 пинги не проходят. Я понимаю ,что затык где то в правилах firewall или nat на ASA, но из-за малоопытности не понимаю какие именно правила прохождения трафика нужны.На Микротике никаких запрещающих правил нет из сети 10.0.0.0/8 спокойно имею доступ к любому оборудованию в сети 192.168.1.0/24. Заранее спасибо.

Читайте также:  настройка yota на модеме beeline

Если вопрос еще актуален, то набросайте рисунок сети с указанием портов оборудования и ip, а также список правил FW

источник

Базовая настройка межсетевого экрана Cisco ASA 5510

Автор: privilege15 от 08 Ноябрь 2009 . в разделе Безопасность

Cisco ASA 5510 Security Appliance — межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA в сравнении с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

Если вы уже приобрели лицензию, то активировать ее можно выполнив следующие команды:

Далее представлен простой сценарий доступа к сети Интернет, где Интернет-провайдер предоставил нам внешний статический IP адрес 77.77.77.1, внутренняя сеть использует следующее адресное пространство: 172.16.10.0/24. Будем использовать интерфейс Ethernet0/0 для WAN. Физический интерфейс Ethernet0/1 будет использован для подключения всех внутренних сетевых устройств. Логически, все внутренние устройства сети будут находиться в VLAN 10, отсюда задействуем логический интерфейс Ethernet0/1.10. Настроим ASA так, чтобы она автоматически выдавала IP адреса рабочим станциям по протоколу DHCP. Настроим NAT(PAT) в направлении внутренняя сеть – внешняя сеть.

Топология сети представлена ниже:

Прежде всего, необходимо настроить пароль для доступа к ASA в режиме глобальной конфигурации командой enable password MyPass, где MyPass — пароль к устройству:

Для настройки внешнего интерфейса, необходимо набрать команду interface Ethernet0/0, задать имя командой nameif outside, уровень безопасности security-level 0 и IP адрес ip address 77.77.77.1 255.255.255.252.

Настроим внутренний интерфейс Ethernet0/1.10 и поместим его в транк 802.1q для VLAN 10. Пример:

Настроим PAT:

Настроим маршрут по умолчанию:

Настроим DHCP сервер на ASA:

источник

Добавить комментарий

Adblock
detector