Настройка Cisco ASA 5510
Cisco ASA 5510 Security Appliance относится к межсетевым экранам, популярной линейки ASA 5500. Эти устройства гарантируют высокий уровень безопасности передачи данных в сетевой среде бизнес предприятий среднего и малого масштабного уровня. Настройка PPPoE позволит поддерживать также и безопасный доступ к глобальной сети интернет из компьютеров сотрудников компании. Сетевые экраны предлагаются конечным пользователям
Техническая
Cisco ASA 5510 Security Appliance относится к межсетевым экранам, популярной линейки ASA 5500. Эти устройства гарантируют высокий уровень безопасности передачи данных в сетевой среде бизнес предприятий среднего и малого масштабного уровня. Настройка PPPoE позволит поддерживать также и безопасный доступ к глобальной сети интернет из компьютеров сотрудников компании.
Сетевые экраны предлагаются конечным пользователям со стандартной лицензией Base license или с расширенной лицензией Security Plus. Последний вариант лицензии раскрывает возможность получения нового уровня производительности ASA, если сравнивать с теми возможностями, которые доступны через Base license. Если стандартная лицензия позволяет поддерживать до 50.000 соединений, то с приобретением Security Plus можно получить брандмауэр, который обеспечит защиту 130.000 соединений. Также увеличено и максимальное число VLAN. Если раньше было доступно только 50, то с новой лицензией это количество вырастает в два раза и составляет 100.
Cisco ASA 5510 владеет 5-ю портами ASA, которые в базовой лицензии могут поддерживать только скорость 10/100Мбит/с, а в лицензии Security Plus она вырастает до 10/100/1000Мбит/с.
После приобретения лицензии Security Plus она нуждается в активации. Для этого нужно выполнить следующие команды:
telecombookASA(config)#activation-key 0xab12cd34
telecombookASA(config)#exit
telecombookASA#copy running startup
telecombookASA#reload
Далее рассмотрим пример настройки доступа к сети интернет. Предоставляющий информационные услуги интернет-провайдер выделил для пользователя один статический IP-адрес 77.77.77.1. Для внутренней сети будет задействовано пространство 172.16.10.0/24. Для WAN используется интерфейс Ethernet 0/0, а для подключения устройств внутри сети – интерфейс Ethernet 0/1.
Согласно логике, все устройства внутренней сетевой конфигурации будут входить в VLAN 10 и потребуется задействовать интерфейс Ethernet 0/1.10. Настойка ASA будет осуществляться таким образом, чтобы происходила автоматическая раздача IP-адресов на рабочие станции. Для этого будет использоваться протокол DHCP. Проведем настройку NAT(PAT) для конфигурации внутренняя–внешняя сеть.
Топология сети будет иметь следующий вид:
Начальная настройка предусматривает настройку пароля для доступа к глобальной конфигурации. Для этого используется команда enable password MyPass, тут MyPass является паролем доступа к устройству.
telecombookASA(config)#enable password MyPass
Чтобы настроить внешний интерфейс используется команда interface Ethernet0/0. Имя задается через команду nameif outside, показатель уровня безопасности security-level 0, IP адрес – ip address 77.77.77.1 255.255.255.252.
telecombookASA(config)#interface Ethernet0/0
telecombookASA(config-if)#nameif outside
telecombookASA(config-if)#security-level 0
telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252
telecombookASA(config-if)#no shut
Чтобы провести настройку внутреннего интерфейса Ethernet0/1.10 и перевести его в trunc 802.1q для VLAN 10 следует реализовать следующий блок:
telecombookASA(config)#interface Ethernet0/1
telecombookASA(config-if)#speed 100
telecombookASA(config-if)#duplex full
telecombookASA(config-if)#no nameif
telecombookASA(config-if)#no security-level
telecombookASA(config-if)#no ip address
telecombookASA(config-if)#no shut
telecombookASA(config)#interface Ethernet0/1.10
telecombookASA(config-if)#nameif inside
telecombookASA(config-if)#vlan 10
telecombookASA(config-if)#security-level 100
telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0
telecombookASA(config-if)#no shut
Настройка PAT
telecombookASA(config)#global (outside) 1 interface
telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0
Настройка маршрута по умолчанию:
telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1
!*1 – административная дистанция.
Настройка DHCP-сервера на ASA
telecombookASA(config)#dhcpd dns 88.88.88.20
telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
telecombookASA(config)#dhcpd enable inside
Полный конфиг имеет следующий вид:
telecombookASA(config)#enable password MyPass
telecombookASA(config)#interface Ethernet0/0
telecombookASA(config-if)#nameif outside
telecombookASA(config-if)#security-level 0
telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252
telecombookASA(config-if)#no shut
telecombookASA(config)#interface Ethernet0/1
telecombookASA(config-if)#speed 100
telecombookASA(config-if)#duplex full
telecombookASA(config-if)#no nameif
telecombookASA(config-if)#no security-level
telecombookASA(config-if)#no ip address
telecombookASA(config-if)#no shut
telecombookASA(config)#interface Ethernet0/1.10
telecombookASA(config-if)#nameif inside
telecombookASA(config-if)#vlan 10
telecombookASA(config-if)#security-level 100
telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0
telecombookASA(config-if)#no shut
telecombookASA(config)#global (outside) 1 interface
telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0
telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1
telecombookASA(config)#dhcpd dns 88.88.88.20
telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
telecombookASA(config)#dhcpd enable inside