Мне нужна небольшая помощь в разработке конфигурации для нашего ASA5505. Я MCSA / MCITPAS, но у меня нет большого практического опыта работы с cisco.
Вот с чем мне нужна помощь: в настоящее время у нас есть PIX в качестве пограничного шлюза, ну, он устарел и имеет лицензию только на 50 пользователей, что означает, что я постоянно очищаю локальный хост в течение дня, когда люди жалуются. Я обнаружил, что последний ИТ-специалист купил пару ASA5505, и они сидели в глубине шкафа.
До сих пор я дублировал конфигурацию с PIX на ASA, но решил пойти дальше и удалить еще один старый маршрутизатор Cisco, который используется только для гостевой сети. Я знаю, что ASA может выполнять обе задачи.
Итак, я собираюсь вставить сценарий, который я написал, с фактическими IP-адресами, измененными для защиты невиновных.
...
Внешняя сеть: 1.2.3.10 255.255.255.248 (у нас / 29)
Внутри сети: 10.10.36.0 255.255.252.0
Сеть DMZ: 192.168.15.0 255.255.255.0
Внешняя сеть на e0 / 0
Сеть DMZ на e0 / 1
Внутри сети на e0 / 2-7
В сети DMZ включен DHCPD.
Пул DMZ DHCPD: 192.168.15.50-192.168.15.250
Сеть DMZ должна иметь возможность видеть DNS во внутренней сети в 10.10.37.11 и 10.10.37.12
Сеть DMZ должна иметь доступ к веб-почте во внутренней сети в 10.10.37.15
Сеть DMZ должна иметь доступ к корпоративному веб-сайту во внутренней сети 10.10.37.17.
Сеть DMZ должна иметь доступ к внешней сети (доступ в Интернет).
Внутри сети нет DHCPD. (dhcp обрабатывается контроллером домена)
Внутренняя сеть должна иметь возможность видеть все, что находится в сети DMZ.
Внутренняя сеть должна иметь доступ к внешней сети (доступ в Интернет).
Уже есть список доступа и статическое отображение NAT.
Сопоставляет внешние IP-адреса нашего интернет-провайдера с IP-адресами наших внутренних серверов
static (inside,outside) 1.2.3.11 10.10.37.15 netmask 255.255.255.255
static (inside,outside) 1.2.3.12 10.10.37.17 netmask 255.255.255.255
static (inside,outside) 1.2.3.13 10.10.37.20 netmask 255.255.255.255
Разрешает доступ к нашему веб-серверу / почтовому серверу / VPN извне.
access-list 108 permit tcp any host 1.2.3.11 eq https
access-list 108 permit tcp any host 1.2.3.11 eq smtp
access-list 108 permit tcp any host 1.2.3.11 eq 993
access-list 108 permit tcp any host 1.2.3.11 eq 465
access-list 108 permit tcp any host 1.2.3.12 eq www
access-list 108 permit tcp any host 1.2.3.12 eq https
access-list 108 permit tcp any host 1.2.3.13 eq pptp
Вот все, что у меня есть о NAT и маршрутах.
global (outside) 1 interface
global (outside) 2 1.2.3.11-1.2.3.14 netmask 255.255.255.248
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 1.2.3.9 1
вы не указываете, какая у вас версия, но, судя по вашим командам NAT, это 8.2 или ниже. У меня есть пример конфигурации, которая должна заставить DHCP работать в DMZ и получать доступ из DMZ к вашей локальной сети DNS, внутренним веб-сайтам и веб-доступу в Интернет. Вероятно, вы можете использовать его в качестве руководства, чтобы при необходимости добавить больше. Вам не нужно менять маршрутизацию, так как это все напрямую подключенные сети.
Это должно быть все, что вам нужно для конфигурации DHCP.
dhcpd dns 10.10.37.11 10.10.37.12
dhcpd domain example.com
dhcpd address 192.168.15.50-192.168.15.250 DMZ
dhcpd enable DMZ
Список доступа, разрешающий трафик, поступающий на интерфейс DMZ. включая ваш DNS-трафик в LAN
access-list DMZ-Access_in extended permit UDP any host 192.168.15.50 eq 53
access-list DMZ-Access_in extended permit UDP any host 192.168.15.250 eq 53
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 80
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 80
access-list DMZ-Access_in extended permit TCP any any eq 80
access-list DMZ-Access_in extended permit TCP any any eq 443
Примените список доступа к интерфейсу DMZ.
access-group DMZ-Access_in in interface DMZ
Также убедитесь, что у вас есть лицензия Security Plus, так как на 5505 DMZ ограничена без
Show version
Редактировать:
Отвечу на ваши вопросы: с базовой лицензией вы не сможете делать то, что хотите. Ограниченный dmz означает, что вам нужно выбрать vlan, с которым dmz не может разговаривать. Это может быть как Лан, так и внешний.
Да, внутренняя часть снаружи и dmz будут считаться тремя vlan, 5505 работает как коммутатор уровня 3 с vlan, применяемыми к портам коммутатора. Все остальные asa используют маршрутизированные порты уровня 3, где вы можете разделить их на подчиненные интерфейсы и подключить к ним магистрали.
Sec plus стоит немного но стоит переходить с pix на asa. Asa намного лучше и имеет довольно хороший графический интерфейс, который позволит вам легко вносить изменения.