Когда дело касается Cisco, я в некотором роде идиот. Обычно я могу разобраться в большинстве межсетевых экранов и разобраться в масках сети, IP-адресации, DMZ, NAT и т. Д. Но по какой-то причине я просто не понимаю Cisco ASA. И CLI, и ASDM.
Короче говоря, я ищу хороший сайт или кого-то, кто может предоставить мне базовый файл конфигурации с комментариями, чтобы я мог его понять.
И да, я пробовал RTFM.
Всем большое спасибо.
Я понимаю, что ваша боль, исследования и практика станут вашими лучшими друзьями. Вот некоторые из моих закладок для работы с устройствами Cisco:
Удачи!
Я тот парень, который написал ранее упомянутую статью «8 основных команд для настройки вашего Cisco ASA». Когда Cisco изменила конфигурацию PAT / NAT весной 2010 года, некоторые из этих команд были устаревшими. Я обновил статью новым сообщением в блоге по адресу http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html. Надеюсь, это поможет.
Что вы пытаетесь сделать?
У меня может быть доступ к ASA, но, не зная, чего вы пытаетесь достичь, я не могу догадаться, какие биты конфигурации могут иметь значение.
Вы можете запустить cisco asa в двух режимах: маршрутизатор и прозрачный режим, а в руководстве GregD рассказывается о режиме маршрутизатора asa. Если у вас уже есть маршрутизатор, я рекомендую вам использовать cisco asa в прозрачном режиме в качестве межсетевого экрана уровня 2, который также действует как «скрытый межсетевой экран», и нет необходимости переадресовывать IP.
В режиме маршрутизации некоторые типы трафика не могут проходить через устройство безопасности, даже если вы разрешили это в списке доступа. В качестве альтернативы, в прозрачном режиме, который может пропускать любой трафик с помощью расширенного списка доступа (для IP-трафика) или списка доступа EtherType (для не-IP-трафика).
Из Вот:
В этой статье мы возвращаемся к основам межсетевых экранов Cisco ASA. Я предлагаю вам базовое руководство по настройке устройства безопасности Cisco ASA 5510. Это устройство является второй моделью в серии ASA (ASA 5505, 5510, 5520 и т. Д.) И довольно популярно, поскольку предназначено для малых и средних предприятий. Как и самая маленькая модель ASA 5505, 5510 поставляется с двумя вариантами лицензии: базовой лицензией и лицензией Security Plus. Второй (Security plus) обеспечивает некоторые улучшения производительности и аппаратного обеспечения по сравнению с базовой лицензией, такие как 130 000 максимальных подключений межсетевого экрана (вместо 50 000), 100 максимальных VLAN (вместо 50), резервирование при отказе и т. Д. Кроме того, лицензия Security plus позволяет двум из пяти сетевых портов межсетевого экрана работать как 10/100/1000 вместо только 10/100.
Далее мы рассмотрим простой сценарий доступа в Интернет, который поможет нам понять основные шаги, необходимые для настройки ASA 5510. Предположим, что нам назначен статический общедоступный IP-адрес. 100.100.100.1 от нашего интернет-провайдера. Также внутренняя сеть LAN принадлежит подсети. 192.168.10.0/24. Интерфейс Ethernet0/0 будет подключен к внешнему (к провайдеру), и Ethernet0/1 будет подключен к внутреннему коммутатору LAN. Обратитесь к диаграмме ниже для нашего примера сценария.
альтернативный текст http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg
Брандмауэр будет настроен на динамическое предоставление IP-адресов (с использованием DHCP) внутренним узлам. Все исходящие сообщения (изнутри наружу) будут транслироваться с использованием трансляции адресов портов (PAT) на внешнем общедоступном интерфейсе. Давайте посмотрим на фрагмент необходимых шагов настройки для этого базового сценария:
Шаг 1: Настроить пароль привилегированного уровня (включить пароль)
По умолчанию пароль для доступа к брандмауэру ASA отсутствует, поэтому первым шагом перед тем, как делать что-либо еще, является настройка пароля привилегированного уровня, который потребуется для последующего доступа к устройству. Настройте это в режиме конфигурации:
ASA5510(config)# enable password mysecretpassword
Шаг 2: Настроить общедоступный внешний интерфейс
ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut
Шаг 3: Настроить доверенный внутренний интерфейс
ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut
Шаг 4: Настройте PAT на внешнем интерфейсе
ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0
Шаг 5: Настройте маршрут по умолчанию к ISP (предположим, что шлюз по умолчанию 100.100.100.2)
ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
Шаг 6: Настройте брандмауэр для назначения внутреннего IP и DNS-адреса хостам с помощью DHCP.
ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside
Вышеупомянутая базовая конфигурация - это только начало работы устройства. Существует множество дополнительных функций конфигурации, которые вам необходимо реализовать для повышения безопасности вашей сети, таких как статический и динамический NAT, списки контроля доступа для управления потоком трафика, зоны DMZ, VPN и т. Д. Я просто попытался предложить вам отправную точку для базовая конфигурация, из которой вы можете расширить свои знания.