Меню

asa настройка dhcp server

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Про route redistribution с помощью IPv6

Сравнение OSPFv2 и OSPFv3 и маршруты по умолчанию

Настройка Cisco ASA в роли DHCP

В данной статье мы опишем настройки сети, которые могут очень пригодится для малых и средних сетей. Мы настроим на Cisco ASA DHCP сервер с несколькими внутренними локальными сетями.

У нас есть три разных внутренних локальных сети с ПК пользователей и другой инфраструктурой – серверами, принтерами и так далее.

Нашей задачей является разделение этих сетей с помощью использования Cisco ASA (данная задача решается как на старых моделях 5500, так и на новых 5500-X). Три внутренних локальных сети будут подключены к одному коммутатору второго уровня с тремя VLAN-ами на данном коммутаторе

ASA будет предоставлять доступ к интернету для всех внутренний ЛВС. Кроме того, ASA также будет выполнять функции DHCP сервера для каждой из ЛВС, назначая нужные IP – адреса для каждой из сетей, используя разные DHCP пулы. Кроме того, мы будем использовать один физический интерфейс на ASA для размещения внутренних зон безопасности (“inside1”,“inside2”,“inside3”). Для этого нам необходимо настроить саб-интерфейсы на физическом интерфейсе нашего МСЭ, который подключен к транковому порту коммутатора. Каждый саб-интерфейс будет служить шлюзом по умолчанию для соответствующих подсетей.

Касаемо настроек свитча – нам необходим один порт Dot1Q, который будет подключен к фаерволлу, и также необходимо будет настроить порты доступа для внутренних хостов.

Топология изображена ниже:

Убедитесь, что вы используете лицензию security-plus.

    Из топологии мы видим:
  • Интерфейс GE1 на ASA – внешняя зона с адресом 100.1.1.1 будет подключен к провайдеру
  • Интерфейс GE0 на ASA – интерфейс, подключенный к транковому порту на коммутаторе. Данный интерфейс будет разбит на три саб-интерфейса, каждый из которых принадлежит свой зоне безопасности и VLAN.
    • Саб-интерфейс GE0.1 — VLAN10 (адрес 10.1.1.254) – зона безопасности “inside 1”
    • Саб-интерфейс GE0.2 — VLAN10 (адрес 10.2.2.254) – зона безопасности “inside 2”
    • Саб-интерфейс GE0.3 — VLAN10 (адрес 10.3.3.254) – зона безопасности “inside 3”
  • Интерфейс Eth0/1, Eth0/2, Eth 0/3 на коммутаторе – настраиваются как порты доступа для соответствующих VLAN-ов (10, 20, 30)
  • Хосты в VLAN 10 – получат адреса с ASA через DHCP (10.1.1.0/24) на интерфейсе “inside1”
  • Хосты в VLAN 20 — получат адреса с ASA через DHCP (10.2.2.0/24) на интерфейсе “inside2”
  • Хосты в VLAN 30 – получат адреса с ASA через DHCP (10.3.3.0/24) на интерфейсе “inside3”
  • Все внутренние локальные сети – данные сети получат доступ к интернету через ASA с использованием PAT (NAT Overload) на внешнем интерфейсе МСЭ

Важно отметить, что в данном примере настройка меж-VLAN маршрутизации проведена не была – есть только доступ в интернет.

Конфигурация Cisco ASA

Ниже указан конфиг для МСЭ

Читайте также:  настройка оптических прицелов видео

На этом все, переходим к настройке свитча.

Настройка коммутатора

Настройка коммутатора очень проста – необходимо настроить транковый порт и три порта доступа, с указанием VLAN.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

источник

Базовая настройка Cisco ASA (Adaptive Security Appliance) 5505. Создание VLAN, настройка DNS, DHCP, ROUTE, NAT.

Межсетевой экран Cisco ASA 5505 оснащен встроенным коммутатором на 8 портов L2 уровня. Чтобы получить интерфейсы L3 уровня, необходимо создать виртуальный интерфейсы VLAN, задать им IP-адреса и привязать их к физическим интерфейсам.

Разберем на примере как выполнить настройку межсетевого экрана Cisco ASA 5505:

  • Интернет-провайдер (WAN)
  • Межсетевой экран
  • Создать подсети (VLAN), пользовательская LAN (192.168.1.1/24), административная ADMLAN (192.150.1.1/24) и гостевая GUEST (192.130.1.1/24).
  • Привязать подсети (VLAN) с физическими интерфейсами (Ethernet). Ethernet0/0 — WAN, Ethernet0/1 — ADMLAN, Ethernet0/3 — GUEST, Ethernet0/7 — Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 — LAN.
  • Настроить DHCP, для раздачи адресов подсетей (LAN, ADMLAN, GUEST).
  • Обеспечить доступ в сеть Интернет из подсетей (LAN, ADMLAN, GUEST).

Подключение к Cisco ASA 5505

Подключаемся к межсетевому экрану через консольный кабель (голубой кабель RJ45 — DB9). Параметры подключения стандартные (Speed — 9600, Data bits — 8, Stop bits — 1). В консоли, переходим в привилегированный режим:

источник

Бардак в голове

Со временем обрывки знаний и умений становится все труднее удержать в голове. Они расползаются по уголкам памяти заполняя все свободное место. Извлекать необходимое на свет становится все сложнее. Этот блог — рабочая записная книжка.

Thursday, October 11, 2007

Настройка DHCP в PIX/ASA

Периодически приходят посетители с google, которые находят блог по ключевым словам asa dhcp. Не очень понимая как это происходит, я решил не разочаровывать их написать маленькую заметку на интересующую их тему. 🙂
Может сделаю это практикой.

Существует два режима работы DHCP.
— сервер
— клиент

Для чего нужен каждый рассказывать не буду, вроде и так понятно.

1. Сервер. Необходимый минимум

Минимальная настройка это всего две команды. Первая определяет пул из которого будут «черпаться» адреса, вторая указывает на каком интерфейсе слушать. Можно запустить несколько сервисов на нескольких интерфейсах

dhcpd address 10.10.10.1-10.10.10.128 LAN
dhcpd enable LAN

2. Сервер. Дополнительно.

Следующие команды позволяют настраивать различные параметры передаваемые клиентам. К большинству из них можно добавить ключевое слово interface с указанием интерфейса PIX/ASA, что позволит иметь разные настройки для разных интерфейсов.

Читайте также:  настройка усилителя для микрофона

// Передать клиенту адрес dns сервера
dhcpd dns 192.168.100.25

// Передать клиенту адрес wins сервера
dhcpd wins 192.168.100.25

// dns домен
dhcpd domain piva.net

// Время на которое выдается адрес. Указывается в секундах
dhcpd lease 7200

В качестве дополнительной проверки PIX/ASA пингует адрес перед выдачей.
Похожее поведение можно настроить и в IOS, здесь это включено по-умолчанию. Перед выдачей адреса посылается для icmp пакета.
Как это выключить я не нашел. 🙂 Зато есть способ управлять таймаутами.

// Изменяем таймуат отклика на пинг. По-умолчанию равен 50 миллисекундам.
dhcpd ping_timeout 100

3. Клиент
При настройке PIX/ASA как клиента dhcp всё еще проще.
В контексте редактирования интерефейса необходимо добавить всего одну команду.

// Получать IP адрес для интерфейса динамически
ip address dhcp [setroute]

Важным, но необязательным, парамером этой команды является setroute.
При указании которого перепишется таблица маршрутизации и новым шлюзом по-умолчанию будет назначен шлюз полученый динамически.

4. Дополнительно
Есть возможность передавать полученые как dhcp клиент параметры (dns, wins, домен) клиентам dhcp динамически.

// Отдавать параметры полученые как клиент своим клиентым

источник

Настройка Cisco ASA в роли DHCP

В данной статье мы опишем настройки сети, которые могут очень пригодится для малых и средних сетей. Мы настроим на Cisco ASA DHCP сервер с несколькими внутренними локальными сетями.

У нас есть три разных внутренних локальных сети с ПК пользователей и другой инфраструктурой – серверами, принтерами и так далее.

Нашей задачей является разделение этих сетей с помощью использования Cisco ASA (данная задача решается как на старых моделях 5500 , так и на новых 5500-X ). Три внутренних локальных сети будут подключены к одному коммутатору второго уровня с тремя VLAN-ами на данном коммутаторе

ASA будет предоставлять доступ к интернету для всех внутренний ЛВС. Кроме того, ASA также будет выполнять функции DHCP сервера для каждой из ЛВС, назначая нужные IP – адреса для каждой из сетей, используя разные DHCP пулы. Кроме того, мы будем использовать один физический интерфейс на ASA для размещения внутренних зон безопасности (“inside1”,“inside2”,“inside3”). Для этого нам необходимо настроить саб-интерфейсы на физическом интерфейсе нашего МСЭ, который подключен к транковому порту коммутатора. Каждый саб-интерфейс будет служить шлюзом по умолчанию для соответствующих подсетей.

Касаемо настроек свитча – нам необходим один порт Dot1Q , который будет подключен к фаерволлу, и также необходимо будет настроить порты доступа для внутренних хостов.

Топология изображена ниже:

Убедитесь, что вы используете лицензию security-plus.

  • Интерфейс GE1 на ASA – внешняя зона с адресом 100.1.1.1 будет подключен к провайдеру
  • Интерфейс GE0 на ASA – интерфейс, подключенный к транковому порту на коммутаторе. Данный интерфейс будет разбит на три саб-интерфейса, каждый из которых принадлежит свой зоне безопасности и VLAN.
  • Саб-интерфейс GE0.1 — VLAN10 (адрес 10.1.1.254) – зона безопасности “inside 1”
  • Саб-интерфейс GE0.2 — VLAN10 (адрес 10.2.2.254) – зона безопасности “inside 2”
  • Саб-интерфейс GE0.3 — VLAN10 (адрес 10.3.3.254) – зона безопасности “inside 3”
  • Интерфейс Eth0/1, Eth0/2, Eth 0/3 на коммутаторе – настраиваются как порты доступа для соответствующих VLAN-ов (10, 20, 30)
  • Хосты в VLAN 10 – получат адреса с ASA через DHCP (10.1.1.0/24) на интерфейсе “inside1”
  • Хосты в VLAN 20 — получат адреса с ASA через DHCP (10.2.2.0/24) на интерфейсе “inside2”
  • Хосты в VLAN 30 – получат адреса с ASA через DHCP (10.3.3.0/24) на интерфейсе “inside3”
  • Все внутренние локальные сети – данные сети получат доступ к интернету через ASA с использованием PAT (NAT Overload) на внешнем интерфейсе МСЭ

Важно отметить, что в данном примере настройка меж-VLAN маршрутизации проведена не была – есть только доступ в интернет.

КОНФИГУРАЦИЯ CISCO ASA

Ниже указан конфиг для МСЭ

! Данный физический интерфейс разбиваем на три саб-интерфейса (порт подключен к транковому порту коммутатора)
interface GigabitEthernet0
no nameif
no security-level
no ip address
!
! Это саб-интерфейс GE0.1 для VLAN10
interface GigabitEthernet0.1
vlan 10
nameif inside1
security-level 100
ip address 10.1.1.254 255.255.255.0
! Это саб-интерфейс GE0.2 для VLAN20
interface GigabitEthernet0.2
vlan 20
nameif inside2
security-level 90
ip address 10.2.2.254 255.255.255.0
! Это саб-интерфейс GE0.3 для VLAN30
interface GigabitEthernet0.3
vlan 30
nameif inside3
security-level 80
ip address 10.3.3.254 255.255.255.0
! This is the WAN interface connected to ISP Это WAN интерфейс, подключенный к ISP
interface GigabitEthernet1
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
! Настраиваем сетевые объекты для трех ЛВС
object network inside1_LAN
subnet 10.1.1.0 255.255.255.0
object network inside2_LAN
subnet 10.2.2.0 255.255.255.0
object network inside3_LAN
subnet 10.3.3.0 255.255.255.0
! Данный ACL полезен тем, что разрешает ходить ICMP трафику (пинг и так далее)
access-list OUT extended permit icmp any any
access-group OUT in interface outside
! Разрешаем доступ в Интернет – для этого настраиваем PAT (NAT Overload) на внешнем интерфейсе
object network inside1_LAN
nat (inside1,outside) dynamic interface
object network inside2_LAN
nat (inside2,outside) dynamic interface
object network inside3_LAN
nat (inside3,outside) dynamic interface
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 100.1.1.2
! Создаем три разных DHCP cущности
! DHCP сущность для VLAN10 – “inside1”
dhcpd address 10.1.1.1-10.1.1.100 inside1
dhcpd enable inside1
! DHCP сущность для VLAN20 – “inside2”
dhcpd address 10.2.2.1-10.2.2.100 inside2
dhcpd enable inside2
! DHCP сущность для VLAN30 – “inside3”
dhcpd address 10.3.3.1-10.3.3.100 inside3
dhcpd enable inside3
! Назначаем DNS cервер для внутренних хостов
dhcpd dns 200.1.1.1

На этом все, переходим к настройке свитча.

Читайте также:  где находятся настройки прокси сервера в хроме

НАСТРОЙКА КОММУТАТОРА

Настройка коммутатора очень проста – необходимо настроить транковый порт и три порта доступа, с указанием VLAN .

! Транковый порт, который подключается к GE0
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
! Порт доступа для VLAN10
interface Ethernet0/1
switchport access vlan 10
switchport mode access
duplex auto
! Порт доступа для VLAN20
interface Ethernet0/2
switchport access vlan 20
switchport mode access
duplex auto
! Порт доступа для VLAN30
interface Ethernet0/3
switchport access vlan 30
switchport mode access
duplex auto

источник

Добавить комментарий

Adblock
detector