Настройка Cisco ASA 5505
Межсетевые экраны Cisco ASA серии 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений
Техническая
Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам.
В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:
Начальные данные:
Наличие:
- межсетевого экрана;
- интернет-провайдера (WAN).
Реализуемая задача:
-
Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
-
Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
-
Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
-
Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).
Подключение к Cisco ASA 5505
Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:
ciscoasa>
ciscoasa> enable
ciscoasa#
По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.
Далее выполняется переход к режиму конфигурирования:
ciscoasa# configure terminal
ciscoasa(config)#
Устанавливается пароль для привилегированного режима:
ciscoasa(config)# enable password (вводится выбранный пароль)
Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:
ciscoasa(config)# clear configure all
Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:
ciscoasa(config)# config factory-default
Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.
Создание VLAN интерфейсов
По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.
Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:
ciscoasa(config)# interface vlan 1
ciscoasa(config-if)# nameif LAN
ciscoasa(config-if)# description LAN
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# security-level 70
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.
ciscoasa(config)# interface vlan 10
ciscoasa(config-if)# nameif WAN
ciscoasa(config-if)# description Internet
ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:
ciscoasa(config)# interface vlan 20
ciscoasa(config-if)# nameif ADMLAN
ciscoasa(config-if)# description Admins LAN
ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:
ciscoasa(config)# interface vlan 30
ciscoasa(config-if)# nameif GUEST
ciscoasa(config-if)# description Guest LAN
ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:
ciscoasa(config)# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 LAN down Et0/0, Et0/1, Et0/2, Et0/3
Et0/4, Et0/5, Et0/6, Et0/7
10 WAN down
20 ADMLAN down
30 GUEST down
Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:
ciscoasa(config)# show interface vlan 1
Interface Vlan1 "LAN", is down, line protocol is down
Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
Description: LAN
MAC address 74a0.2f2a.e28d, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
Traffic Statistics for "LAN":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Привязка VLAN к физическим интерфейсам
Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# description WAN
ciscoasa(config-if)# switchport access vlan 10
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:
ciscoasa(config)# interface Ethernet0/1
ciscoasa(config-if)# description Admins LAN
ciscoasa(config-if)# switchport access vlan 20
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:
ciscoasa(config)# interface Ethernet0/3
ciscoasa(config-if)# description Guest LAN
ciscoasa(config-if)# switchport access vlan 30
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:
ciscoasa(config)# interface Ethernet0/7
ciscoasa(config-if)# description Trunk port
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allow vlan 1,20,30
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.
Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:
ciscoasa(config)# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Virtual0 127.0.0.1 YES unset up up
Vlan1 192.168.1.1 YES manual down down
Vlan10 10.241.109.251 YES manual up up
Vlan20 192.150.1.1 YES manual down down
Vlan30 192.130.1.1 YES manual down down
Ethernet0/0 unassigned YES unset up up
Ethernet0/1 unassigned YES unset down down
Ethernet0/2 unassigned YES unset down down
Ethernet0/3 unassigned YES unset administratively down down
Ethernet0/4 unassigned YES unset administratively down down
Ethernet0/5 unassigned YES unset administratively down down
Ethernet0/6 unassigned YES unset administratively down down
Ethernet0/7 unassigned YES unset down down
Настройка маршрутизации пакетов
Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:
ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х
Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:
ciscoasa(config)# ping 87.250.250.242
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms
Чтобы отобразились все прописанные маршруты, следует выполнить команду:
ciscoasa(config)# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 10.241.109.1 to network 0.0.0.0
C 10.241.109.0 255.255.255.0 is directly connected, WAN
S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN
Настройка DNS
Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.
ciscoasa(config)# dns domain-lookup WAN
ciscoasa(config)# dns name-server X.X.X.X
Чтобы проверить работоспособность DNS проведем ping узла ya.ru:
ciscoasa(config)# ping ya.ru
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Чтобы отобразить DNS-параметры нужно выполнить следующую команду:
ciscoasa(config)# show running dns
dns domain-lookup WAN
dns server-group DefaultDNS
name-server 1.1.1.1
name-server 77.88.8.1
Настройка DHCP
Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:
ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN
ciscoasa(config)# dhcpd dns X.X.X.X interface LAN
ciscoasa(config)# dhcpd enabled LAN
Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:
ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN
ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN
ciscoasa(config)# dhcpd enabled ADMLAN
Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:
ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST
ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST
ciscoasa(config)# dhcpd enabled GUEST
Для отображения всех имеющихся пулов выполняется команда:
ciscoasa(config)# show running dhcpd
dhcpd address 192.168.1.2-192.168.1.33 LAN
dhcpd dns 10.241.109.1 interface LAN
dhcpd enable LAN
dhcpd address 192.150.1.2-192.150.1.33 ADMLAN
dhcpd dns 10.241.109.1 interface ADMLAN
dhcpd enable ADMLAN
dhcpd address 192.130.1.2-192.130.1.33 GUEST
dhcpd enable GUEST
Настройка NAT
Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.
Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:
ciscoasa(config)# object network OBJ_NAT_LAN
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface
ciscoasa(config-network-object)# exit
Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:
ciscoasa(config)# object network OBJ_NAT_ADMLAN
ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface
ciscoasa(config-network-object)# exit
Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:
ciscoasa(config)# object network OBJ_NAT_GUEST
ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface
ciscoasa(config-network-object)# exit
Для отображения всех имеющихся правил NAT выполняется команда:
ciscoasa(config)# show nat
Auto NAT Policies (Section 2)
1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface
translate_hits = 0, untranslate_hits = 0
2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface
translate_hits = 0, untranslate_hits = 0
3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface
translate_hits = 0, untranslate_hits = 0
Для сохранения настроек:
ciscoasa(config)# write memory
Удаление / Очистка записей в конфигурации
Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:
ciscoasa(config)# no interface vlan 30
На этом начальная настойка межсетевого экрана завершена.