Cisco asa 5505 настройка web интерфейса

Полезно

Узнать IP — адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP — АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка Router-on-a-Stick на Cisco

Настройка voice vlan на Cisco

3 способа убрать «Translating Domain Server» в Cisco IOS

Еще один пример настройки Cisco ASA

Экскурсия для новичков

4 минуты чтения

Многие люди, работающие в сферах, где утечка информации может нанести существенный ущерб компании или её репутации, беспокоились о безопасности хранения данных на компьютерах, различных носителях. Вскоре эта проблема была решена с появлением различных антивирусов, шифрований, пресекавших несанкционированный доступ к данным. Но как быть, если необходимо хранить данные в какой-то сети, скажем, из 5 компьютеров, но при этом, чтобы они имели выход в интернет? Для решения такой задачи были созданы межсетевые экраны.

Одним из фаворитов, среди производителей сетевого оборудования является компания cisco. Название пишется с маленькой буквы, так как при оформлении уже существовала компания CISCO, а владельцам не осталось ничего иного, как cisco. Интересно, что такое название компания получила от сокращенного названия города Сан-Франциско, в котором была образована. На логотипе изображена достопримечательность города – мост «Золотые ворота», которые некоторые люди ошибочно принимают за модулированный сигнал. Компания регулярно радует «сетевиков» своими новинками, что и сделало cisco популярными повсеместно.

Перейдем непосредственно к решению задачи по обеспечению безопасного хранения данных в локальной сети.

Сетевой экран позволяет блокировать нежелательный трафик из сети Интернет, посредством фильтрации проходящей через них информации. Условно экран (Firewall) может находиться на любом из уровней модели OSI (взаимодействия открытых систем), за исключением физического. Как и любое сетевое устройство, которое вводится в эксплуатацию, Firewall должен разграничить доступ к настройке фильтрации. Рассмотрим на примере 2 ПК, cisco ASA 5505 по пунктам:

  1. Подключаем кабель через консольный порт (console), который отмечен голубым цветом вокруг. Второй конец подключаем к ПК, с которого будет производиться настройка.
  2. Есть 3 режима работы, многие ошибочно считают, что их всего 2.
  1. Общий
  2. Пользовательский
  3. Привилегированный
  • Для настройки ASA 5005 нам необходим привилегированный режим. Чтобы перейти в него, нужно пройти предыдущие два. Вначале мы оказываемся в общем режиме. Чтобы перейти в пользовательский, вводим команду en или enable (разницы нет, это всего лишь сокращение). Система известила нас о том, что произошел переход с пользовательский режим ответом ciscoasa#. #(решетка) означает тот самый пользовательский режим. Далее переходим в привилегированный режим командой conf t или configure terminal. С помощью ответа в виде ciscoasa(config)# firewall уведомил о переходе в максимально возможный режим с доступов ко всем настройкам.
  • Чтобы ограничить доступ посторонних лиц к настройке, рекомендуется устанавливать пароль командой enable password XXX, где XXX – ваш пароль.
  • Настроим интерфейсы cisco. Для этого в привилегированном режиме вводим следующие команды:
    • Interface GigabitEthernet 0/0 (входим в настройку интерфейса 0/0). Далее, при новой настройке указывается Interface GigabitEthernet 0/1 и т.д.
    • nameif XXX (XXX – имя интерфейса)
    • security-level 0 (если на этот порт будет поступать информация из Интернета) или security-level 100 (если информация будет находиться в локальной сети)
    • ip address 192.168.1.10 255.255.255.0 (присваиваем IP-адрес интерфейсу)
    • no shutdown (открываем порт для прохождения информации через него)
    • Настроим статическую маршрутизацию командой: Главное – последний IP. Задается IP провайдера.
    • Настроим доступ по HTTP: Включили HTTPS-сервер, присвоили его к нашему интерфейсу, назначили его работу через локальную сеть.
    • Настроим доступ по SSH:
    • Для того, чтобы можно было проверить соединение с помощью командой ping в командной строке, необходимо выключить ICMP протокол:
    • Если необходимо, чтобы все устройства локальной сети имели общий адрес в сети Интернет, вводим следующую команду:
    • Таким образом на данном межсетевом экране можно настроить и остальные 4 ПК, которые нам необходимо было настроить.

      Пожалуйста, расскажите почему?

      Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

      Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

      Межсетевые экраны Cisco ASA 5505 владеют встроенным коммутационным модулем с 8-ю портами, которые поддерживают коммутацию трафика L2-уровня и возможность VPN соединений. Если нужны интерфейсы L3-уровня, потребуется виртуальные VLAN-интерфейсы, которым задаются IP-адреса с последующей привязкой к физическим интерфейсам.

      В качестве примера будет рассмотрена начальная настойка межсетевых экранов Cisco ASA 5505:

      Начальные данные:

      • межсетевого экрана;
      • интернет-провайдера (WAN).
          Нужно создать три подсети VLAN: административная ADMLAN (192.150.1.1/24), пользовательская LAN (192.168.1.1/24), гостевая GUEST (192.130.1.1/24).
          Выполнить привязку подсети VLAN с физическими интерфейсами Ethernet (выполнить настройку PPPoE): Ethernet0/0 – WAN, Ethernet0/1 – ADMLAN, Ethernet0/3 – GUEST, Ethernet0/7 – Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 – LAN.
          Провести настройку DHCP, чтобы раздавать адреса подсетей (LAN, ADMLAN, GUEST).
          Настроить доступ к сети Интернет из подсетей (LAN, ADMLAN, GUEST).

      Подключение к Cisco ASA 5505

      Процесс подключения к межсетевому экрану выполняется посредством консольного кабеля (RJ45 – DB9 в голубой оплетке). Используются стандартные параметры подключения (Speed – 9600, Data bits – 8, Stop bits – 1). Через консоль нужно выйти в привилегированный режим:

      По умолчанию пароля для привилегированного режима нет. Его можно установить в процессе настройки оборудования.

      Далее выполняется переход к режиму конфигурирования:

      ciscoasa# configure terminal

      Устанавливается пароль для привилегированного режима:

      ciscoasa(config)# enable password (вводится выбранный пароль)

      Чтобы упростить дальнейшую настройку, рекомендуется выполнить очистку начальной конфигурации с устройства. Для этого выполняется команда и подтверждение:

      ciscoasa(config)# clear configure all

      Если потребуется восстановление начальной конфигурации нужно будет выполнить следующую команду:

      ciscoasa(config)# config factory-default

      Для межсетевых экранов Cisco ASA процесс перезагрузки после очистки или восстановления конфигурации не нужен.

      Создание VLAN интерфейсов

      По умолчанию сетевой экран имеет один созданный VLAN 1, который уже привязан ко всем портам. Создавая VLAN-интерфейсы нужно уделить внимание параметру Security-Level, который отвечает уровень безопасности. По умолчанию, информационный трафик переходит от зоны с высоким показателем Security-Level к зоне с низким значением и запрещается обратный переход.

      Выполним настройку VLAN 1 (192.168.1.1/24) LAN для локальной пользовательской сети:

      ciscoasa(config)# interface vlan 1

      ciscoasa(config-if)# nameif LAN

      ciscoasa(config-if)# description LAN

      ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

      ciscoasa(config-if)# security-level 70

      ciscoasa(config-if)# no shutdown

      Нужно создать VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Задается IP-адрес и маска сети, которые были выделены интернет-провайдером.

      ciscoasa(config)# interface vlan 10

      ciscoasa(config-if)# nameif WAN

      ciscoasa(config-if)# description Internet

      ciscoasa(config-if)# ip address Х.Х.Х.Х Х.Х.Х.Х

      ciscoasa(config-if)# security-level 0

      ciscoasa(config-if)# no shutdown

      Для управления и мониторинга состояния оборудования создается VLAN 20 (192.150.1.1/24) ADMLAN:

      ciscoasa(config)# interface vlan 20

      ciscoasa(config-if)# nameif ADMLAN

      ciscoasa(config-if)# description Admins LAN

      ciscoasa(config-if)# ip address 192.150.1.1 255.255.255.0

      ciscoasa(config-if)# security-level 100

      ciscoasa(config-if)# no shutdown

      Далее создается VLAN 30 (192.130.1.1/24) GUEST для поддержки гостевых сетей:

      ciscoasa(config)# interface vlan 30

      ciscoasa(config-if)# nameif GUEST

      ciscoasa(config-if)# description Guest LAN

      ciscoasa(config-if)# ip address 192.130.1.1 255.255.255.0

      ciscoasa(config-if)# security-level 50

      ciscoasa(config-if)# no shutdown

      Чтобы отобразить все VLAN-интерфейсы и выполнить привязку по портам, нужно выполнить следующую команду:

      ciscoasa(config)# show switch vlan

      VLAN Name Status Ports

      1 LAN down Et0/0, Et0/1, Et0/2, Et0/3

      Et0/4, Et0/5, Et0/6, Et0/7

      Чтобы просмотреть информацию для выбранного VLAN, следует выполнить команду:

      ciscoasa(config)# show interface vlan 1

      Interface Vlan1 "LAN", is down, line protocol is down

      Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec

      MAC address 74a0.2f2a.e28d, MTU 1500

      IP address 192.168.1.1, subnet mask 255.255.255.0

      Traffic Statistics for "LAN":

      0 packets input, 0 bytes

      0 packets output, 0 bytes

      0 packets dropped

      1 minute input rate 0 pkts/sec, 0 bytes/sec

      1 minute output rate 0 pkts/sec, 0 bytes/sec

      1 minute drop rate, 0 pkts/sec

      5 minute input rate 0 pkts/sec, 0 bytes/sec

      5 minute output rate 0 pkts/sec, 0 bytes/sec

      5 minute drop rate, 0 pkts/sec

      Привязка VLAN к физическим интерфейсам

      Изначально связывается WAN-интерфейс (VLAN 10) с Ethernet0/0:

      ciscoasa(config)# interface Ethernet0/0

      ciscoasa(config-if)# description WAN

      ciscoasa(config-if)# switchport access vlan 10

      ciscoasa(config-if)# no shutdown

      Далее привязывается ADMLAN (VLAN 20) к интерфейсу Ethernet0/1:

      ciscoasa(config)# interface Ethernet0/1

      ciscoasa(config-if)# description Admins LAN

      ciscoasa(config-if)# switchport access vlan 20

      ciscoasa(config-if)# no shutdown

      Следующий шаг – это привязка GUEST (VLAN 30) к интерфейсу Ethernet0/2:

      ciscoasa(config)# interface Ethernet0/3

      ciscoasa(config-if)# description Guest LAN

      ciscoasa(config-if)# switchport access vlan 30

      ciscoasa(config-if)# no shutdown

      Создается Trunk-порт (VLAN 1,20,30) для интерфейса Ethernet0/7:

      ciscoasa(config)# interface Ethernet0/7

      ciscoasa(config-if)# description Trunk port

      ciscoasa(config-if)# switchport mode trunk

      ciscoasa(config-if)# switchport trunk allow vlan 1,20,30

      ciscoasa(config-if)# no shutdown

      Если просматривать конфигурация с помощью «show run», то привязку VLAN 1, к физическим интерфейсам видно не будет, поскольку VLAN 1 по умолчанию привязан к каждому из интерфейсов.

      Чтобы увидеть текущий статус для каждого интерфейса нужно выполнить команду:

      ciscoasa(config)# show interface ip brief

      Interface IP-Address OK? Method Status Protocol

      Internal-Data0/0 unassigned YES unset up up

      Internal-Data0/1 unassigned YES unset up up

      Virtual0 127.0.0.1 YES unset up up

      Vlan1 192.168.1.1 YES manual down down

      Vlan10 10.241.109.251 YES manual up up

      Vlan20 192.150.1.1 YES manual down down

      Vlan30 192.130.1.1 YES manual down down

      Ethernet0/0 unassigned YES unset up up

      Ethernet0/1 unassigned YES unset down down

      Ethernet0/2 unassigned YES unset down down

      Ethernet0/3 unassigned YES unset administratively down down

      Ethernet0/4 unassigned YES unset administratively down down

      Ethernet0/5 unassigned YES unset administratively down down

      Ethernet0/6 unassigned YES unset administratively down down

      Ethernet0/7 unassigned YES unset down down

      Настройка маршрутизации пакетов

      Чтобы настроить процесс маршрутизации информационных пакетов в Интернет нужно задать шлюз по умолчанию и WAN-интерфейс через который он будет доступен:

      ciscoasa(config)# route WAN 0.0.0.0 0.0.0.0 Х.Х.Х.Х Х.Х.Х.Х

      Чтобы выполнить проверку доступности связи через интернет следует выполнить ping узла 87.250.250.242:

      ciscoasa(config)# ping 87.250.250.242

      Type escape sequence to abort.

      Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

      Success rate is 100 percent (5/5), round-trip min/avg/max = 1/14/30 ms

      Чтобы отобразились все прописанные маршруты, следует выполнить команду:

      ciscoasa(config)# show route

      Codes: C — connected, S — static, I — IGRP, R — RIP, M — mobile, B — BGP

      D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area

      N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2

      E1 — OSPF external type 1, E2 — OSPF external type 2, E — EGP

      i — IS-IS, L1 — IS-IS level-1, L2 — IS-IS level-2, ia — IS-IS inter area

      * — candidate default, U — per-user static route, o — ODR

      P — periodic downloaded static route

      Gateway of last resort is 10.241.109.1 to network 0.0.0.0

      C 10.241.109.0 255.255.255.0 is directly connected, WAN

      S* 0.0.0.0 0.0.0.0 [1/0] via 10.241.109.1, WAN

      Настройка DNS

      Чтобы сетевой экран отвечал на DNS-запросы, нужно включить трансляцию имен в IP-адреса для интерфейса WAN и указать DNS-адрес сервера, который был выдан интернет-провайдером.

      ciscoasa(config)# dns domain-lookup WAN

      ciscoasa(config)# dns name-server X.X.X.X

      Чтобы проверить работоспособность DNS проведем ping узла ya.ru:

      ciscoasa(config)# ping ya.ru

      Type escape sequence to abort.

      Sending 5, 100-byte ICMP Echos to 87.250.250.242, timeout is 2 seconds:

      Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms

      Чтобы отобразить DNS-параметры нужно выполнить следующую команду:

      ciscoasa(config)# show running dns

      dns domain-lookup WAN

      dns server-group DefaultDNS

      Настройка DHCP

      Для добавление пула пользовательской сети (192.168.1.1/24) LAN нужно выполнить:

      ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 LAN

      ciscoasa(config)# dhcpd dns X.X.X.X interface LAN

      ciscoasa(config)# dhcpd enabled LAN

      Чтобы добавить пул для сети администратора (192.150.1.1/24) ADMLAN:

      ciscoasa(config)# dhcpd address 192.150.1.2-192.150.1.254 ADMLAN

      ciscoasa(config)# dhcpd dns X.X.X.X interface ADMLAN

      ciscoasa(config)# dhcpd enabled ADMLAN

      Чтобы добавить пула для гостевой сети (192.130.1.1/24) GUEST:

      ciscoasa(config)# dhcpd address 192.130.1.2-192.130.1.254 GUEST

      ciscoasa(config)# dhcpd dns X.X.X.X interface GUEST

      ciscoasa(config)# dhcpd enabled GUEST

      Для отображения всех имеющихся пулов выполняется команда:

      ciscoasa(config)# show running dhcpd

      dhcpd address 192.168.1.2-192.168.1.33 LAN

      dhcpd dns 10.241.109.1 interface LAN

      dhcpd enable LAN

      dhcpd address 192.150.1.2-192.150.1.33 ADMLAN

      dhcpd dns 10.241.109.1 interface ADMLAN

      dhcpd enable ADMLAN

      dhcpd address 192.130.1.2-192.130.1.33 GUEST

      dhcpd enable GUEST

      Настройка NAT

      Чтобы получить доступ из локальных сетей к глобальной сети Интернет, следует транслировать все адреса из локальных сетей в публичный адрес.

      Для этого нужно добавить правило NAT для локальной пользовательской сети (192.168.1.1/24) LAN:

      ciscoasa(config)# object network OBJ_NAT_LAN

      ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0

      ciscoasa(config-network-object)# nat (LAN,WAN) dynamic interface

      Чтобы добавить правило NAT для локальной администраторской сети (192.150.1.1/24) ADMLAN:

      ciscoasa(config)# object network OBJ_NAT_ADMLAN

      ciscoasa(config-network-object)# subnet 192.150.1.0 255.255.255.0

      ciscoasa(config-network-object)# nat (ADMLAN,WAN) dynamic interface

      Чтобы добавить правило NAT для локальной гостевой сети (192.130.1.1/24) GUEST:

      ciscoasa(config)# object network OBJ_NAT_GUEST

      ciscoasa(config-network-object)# subnet 192.130.1.0 255.255.255.0

      ciscoasa(config-network-object)# nat (GUEST,WAN) dynamic interface

      Для отображения всех имеющихся правил NAT выполняется команда:

      ciscoasa(config)# show nat

      Auto NAT Policies (Section 2)

      1 (GUEST) to (WAN) source dynamic OBJ_NAT_GUEST interface

      translate_hits = 0, untranslate_hits = 0

      2 (ADMLAN) to (WAN) source dynamic OBJ_NAT_ADMLAN interface

      translate_hits = 0, untranslate_hits = 0

      3 (LAN) to (WAN) source dynamic OBJ_NAT_LAN interface

      translate_hits = 0, untranslate_hits = 0

      Для сохранения настроек:

      ciscoasa(config)# write memory

      Удаление / Очистка записей в конфигурации

      Если возникает потребность в удалении созданного VLAN и удалении записи DNS, следует перед командой прописать no. Например:

      ciscoasa(config)# no interface vlan 30

      На этом начальная настойка межсетевого экрана завершена.

      Read this article in English

      Рассмотрим пример подключения офиса к сети Интернет с помощью межсетевого экрана Cisco ASA. Для примера будем использовать самую младшую модель – Cisco ASA 5505. От более старших она отличается тем, что здесь присутствует встроенный коммутатор на 8 портов. Каждый из них – порт второго уровня модели OSI, на котором нельзя задать IP адреса. Чтобы получить интерфейсы 3 уровня, необходимо создать виртуальный интерфейсы Vlan, задать ip адреса на них и после этого привязать к физическим интерфейсам.

      В примере используются:

      — канал в Интернет со статическим ip адресом
      — несколько компьютеров в локальной сети офиса
      — межсетевой экран Cisco ASA 5505
      — коммутатор (используется для организации локальной сети офиса, без дополнительных настроек)

      Задача: обеспечить доступ компьютеров локальной сети в Интернет.

      Шаг 0. Очистка конфигурации

      (Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)

      Если на устройстве с заводскими настройками будет запрошен пароль для привилегированного режима (#) enable, то просто нажмите клавишу «Enter».
      ciscoasa> enable
      Password: /нажмите Enter/
      ciscoasa#

      Далее полностью очистим стартовую конфигурацию с устройства. Для этого подключаемся с помощью консольного кабеля к консольному порту устройства, заходим в командную строку и вводим следующие команды:
      ciscoasa(config)# clear configure all
      После чего подтверждаем удаление всей текущей конфигурации.

      В отличии от маршрутизаторов Cisco перезагрузка для сброса конфигурации не требуется. После выполнения команды «clear configure all» на межсетевом экране останутся только технологические строки заводской конфигурации и можно приступать к основной настройке.

      Шаг 1. Имя устройства

      Задание имени устройства для удобства последующего администрирования выполняется командой hostname «название устройства»
      ciscoasa# hostname FW-DELTACONFIG
      FW-DELTACONFIG#

      Шаг 2. Настройка интерфейсов

      Необходимо настроить 2 интерфейса: внешний и внутренний.

      Через внешний интерфейс outside будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые выделил Интернет провайдер.
      FW-DELTACONFIG (config)#
      interface Vlan1
      nameif outside
      security-level 0
      ip address 200.150.100.2 255.255.255.252
      no shut

      Внутренний интерфейс inside будет настроен для локальной сети.
      FW-DELTACONFIG (config)#
      interface Vlan2
      nameif inside
      security-level 100
      ip address 192.168.10.1 255.255.255.0
      no shut

      После этого необходимо привязать виртуальные интерфейсы Vlan к реальным интерфейсам Ethernet.
      Привязка внешнего интерфейса outside к интерфейсу Ethernet0/0
      FW-DELTACONFIG (config)#
      interface Ethernet0/0
      switchport access vlan 1
      description — WAN —
      no shut

      Важно!
      Обратите внимание, что строка с командой «switchport access vlan 1» не будет отображаться в конфигурации устройства (просмотр конфигурации командой «sh run»), так как Vlan 1 привязан к каждому интерфейсу по умолчанию.

      Привязка внутреннего интерфейса inside к интерфейсу Ethernet0/1
      FW-DELTACONFIG (config)#
      interface Ethernet0/1
      switchport access vlan 2
      description — LAN —
      no shut

      Шаг 3. Настройка удаленного доступа к устройству

      Для удаленного доступа администратора к устройству по протоколу SSH необходимо выполнить следующее:
      Создать пароль для привилегированного режима (#). Вместо XXXXX необходимо ввести пароль.
      FW-DELTACONFIG(config)#
      enable password XXXXX
      Создать учетную запись администратора. Вместо YYYYY необходимо ввести пароль для пользователя admin).
      FW-DELTACONFIG(config)#
      username admin password YYYYY privilege 15
      Далее указывается метод аутентификации и генерируются ключи rsa
      FW-DELTACONFIG(config)#
      aaa authentication ssh console LOCAL
      crypto key generate rsa modulus 1024
      /подтвердите замену клавишей y
      Указывается ip адрес рабочей станции администратора, с которого возможно удаленное управление через SSH, а также интерфейс, со стороны которого будут приниматься запросы (inside). При необходимости можно указать несколько адресов или даже задать сети управления.
      FW-DELTACONFIG(config)#
      ssh 192.168.10.100 255.255.255.255 inside
      После этого доступ к межсетевому экрану по протоколу SSH будет доступен с компьютера с адресом 192.168.10.100 .

      Шаг 4. Настройка шлюза по умолчанию

      Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(ближайший к устройству адрес провайдера) и интерфейс, через который он доступен (outside)
      FW-DELTACONFIG(config)#
      route outside 0.0.0.0 0.0.0.0 200.150.100.1

      После этого можно проверить не только доступность оборудования провайдера, но и доступность канала связи с Интернет. Для этого необходимо запустить ping с устройства до любого адреса во внешней сети. Для примера возьмем адрес лидера на рынке сервиса icmp запросов – www.yandex.ru (93.158.134.3)
      FW-DELTACONFIG# ping 93.158.134.3
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
      .
      Success rate is 100 percent (5/5), round-trip min/avg/max = 3/8/15 ms

      Важно!
      Обратите внимание, что на данный момент ping внешних адресов работает только из консоли управления Cisco ASA. Рабочие станции и устройства локальной сети все еще не имеют доступа в Интернет.

      Шаг 5 Настройка трансляции адресов (NAT)

      Настройка трансляции адресов различается для разных версий прошивки устройств. Версию прошивки можно узнать из вывода команды «sh ver»
      FW-DELTACONFIG# sh ver
      Cisco Adaptive Security Appliance Software Version 8.2(1)11

      Важно!

      Принципы использования и настройки NAT не только для Cisco ASA, но и для маршрутизаторов описаны в статье Как использовать NAT. Прочитайте ее, если не уверены какой именно тип вам нужен.

      Шаг 5.1 NAT для доступа из локальной сети наружу (PAT)

      Для доступа из локальной сети в Интернет необходимо, чтобы частные (серые) адреса офисной сети были транслированы в публичный (белый) адрес.

      Для версии 8.2.X и старше

      Для версии 8.3.X и новее

      После выполнения этих команд адреса устройств из внутренней сети будут динамически транслироваться в адрес интерфейса outside.

      Важно!
      Трафик можно также транслировать в определенный ip адрес (если провайдер выделил вам сеть больше, чем /30), однако в этом случае это не должен быть адрес самого интерфейса outside.

      • Либо трансляция будет в адрес внешнего интерфейса как в примере
      • Либо в другой адрес, принадлежащий сети внешнего интерфейса, но отличный от него

      Иначе NAT не будет осуществляться корректно, если вообще заработает.

      Шаг 5.2 Для доступа из Интернет на адрес в локальной сети (static NAT)

      Для доступа из сети Интернет внутрь локальной сети, например на веб сервер организации, необходимо настроить статическую трансляцию адресов (static NAT).

      Для версии 8.2.X и старше

      Важно!
      Обратите внимание на последовательность интерфейсов и адресов. В скобках идет внутренний-внешний, а после них адрес внешнего-адрес внутреннго. Наоборот!

      Для версии 8.3.X и новее

      В этом случае любые запросы на внешний интерфейс межсетевого экрана будут переадресовываться на внутренний адрес 192.168.10.200

      ИЛИ

      Для версии 8.2.X и старше

      Для версии 8.3.X и новее

      В этом случае запросы на внешний интерфейс межсетевого экрана только по порту TCP 80 (протокол HTTP) будут переадресовываться на внутренний адрес 192.168.10.200.

      Важно!
      Вместо слова interface можно указывать конкретный адрес, отличный от адреса самого интерфейса outside, однако в нашем примере это невозможно, так как по условиям провайдер предоставляет сеть на 4 адреса 200.150.100.0 /30, из которой для использования доступны и уже заняты всего два адреса: 200.150.100.1 занимает провайдер, а 200.150.100.2 настроен на внешнем интерфейсе. Соответственно доступных свободных адресов в этой сети больше нет.
      Если бы была предоставлена сеть большего размера, например с тем же префиксом 200.150.100.0, но с маской подсети /29, то для использования были бы доступны 6 из 8 адресов 200.150.100.1 – 200.150.100.6. Два адреса из шести доступных были бы заняты как в примере выше, а еще 4 доступны для использования. В этом случае можно настроить трансляцию адреса сервера из локальной сети в свободный адрес из сети 200.150.100.0 /29, например в 200.150.100.3.

      Для версии 8.2.X и старше

      Для версии 8.3.X и новее

      Важно!
      Обратите внимание, что правила трансляции не открывают доступ к тем или иным ресурсам сами собой. Для этой цели необходимо также создать списки доступа (access lists) и привязать их к соответствующим интерфейсам.

      Важно!
      Более подробное описание настроек для настройки Static NAT также именуемой как «проброс портов» приведены в статье Cisco ASA. «Проброс портов» или static NAT.

      Шаг 6. Настройка правил доступа (access list)

      Дабы не загромождать материал теорией по спискам доступа и их применению, приведу пример настроек, которые будут достаточны для большинства малых офисов. Если потребуется открыть дополнительный доступ к каким-то ресурсам, то необходимо добавить строки по аналогии с имеющимися.

      Важно!
      Хотя все правила доступа возможно записать, используя только цифровые ip адреса, для удобства дальнейшего администрирования вначале создаются группы объектов с обозначениями и все строки правил записываются уже с их помощью. Это удобно и практично.
      Начнем с access list, разрешающего доступ из внутренней сети в Интернет. Условия будут следующими:

      — Каждый пользователь или устройство должны иметь доступ в Интернет для просмотра веб сайтов.
      — Рабочие станции администратора и директора фирмы должны иметь доступ в Интернет без каких-либо ограничений.
      — Рабочая станция ответственного сотрудника должна иметь доступ к частному ресурсу в сети по порту TCP 9443

      Создадим группы объектов:

      NET_LAN – все пользователи и устройства локальной сети.
      USER_CEO – адрес рабочей станции директора
      USER_ADMIN – адрес рабочей станции администратора
      USER_PRIVELEDGED – адрес рабочей станции сотрудника, который должен иметь некий расширенный доступ
      HOST_X — адрес внешнего ресурса, к которому требуется открыть доступ.
      USERS_FULL_ACCESS – группа, которой будет разрешен полный доступ в Интернет
      SERVICE_HTTP_HTTPS – группа портов для веб доступа
      HOST_DNS – адрес внешнего сервера DNS
      SERVICE_DNS – группа портов для доступа к службам DNS
      FW-DELTACONFIG(config)#
      object-group network NET_LAN
      network-object 192.168.10.0 255.255.255.0
      object-group network USER_CEO
      network-object host 192.168.10.10
      object-group network USER_ADMIN
      network-object host 192.168.10.100
      object-group network USERS_FULL_ACCESS
      group-object USERS_CEO
      group-object USERS_ADMIN

      object-group network USER_PRIVELEDGED
      network-object host 192.168.10.50
      network-object host 192.168.10.51

      object-group network HOST_X
      network-object host 1.1.1.1
      object-group network HOST_DNS
      network-object host 8.8.8.8

      object-group service SERVICE_HTTP_HTTPS
      service-object tcp eq http
      service-object tcp eq https

      object-group service SERVICE_DNS
      service-object tcp eq 53
      service-object udp eq 53

      Создаем список доступа ACL_INSIDE_IN, в котором описываем все правила^

      Полный доступ адресов из группы USERS_FULL_ACCESS в Интернет
      FW-DELTACONFIG(config)#
      access-list ACL_INS >ip object-group USERS_FULL_ACCESS any

      Доступ адресов из группы USER_PRIVELEDGED к ресурсу с адресом из группы HOST_X по порту TCP 9443
      FW-DELTACONFIG(config)#
      access-list ACL_INS >tcp object-group USER_PRIVELEDGED object-group HOST_X eq 9443

      Доступ в интернет по портам TCP 80(http) и TCP 443(https) для всех устройств локальной сети
      FW-DELTACONFIG(config)#
      access-list ACL_INS >SERVICE_HTTP_HTTPS object-group NET_LAN any

      Разрешение доступа всем устройствам локальной сети к серверу DNS Google.
      FW-DELTACONFIG(config)#
      access-list ACL_INS >SERVICE_DNS object-group NET_LAN object-group HOST_DNS

      Разрешение протокола icmp для запуска Ping с любого устройства локальной сети.
      FW-DELTACONFIG(config)#
      access-list ACL_INS >icmp object-group NET_LAN any

      Явный запрет любых других соединений. Благодаря слову log в конце строки в журнал устройства будут попадать все попытки доступа, которые не были разрешены этим access list.
      FW-DELTACONFIG(config)#
      access-list ACL_INS >deny ip any any log
      Последовательность строк очень важна! Вначале обрабатывается самая верхняя строка, за ней следующая и так до совпадения условия(правила) в этой строке или конца списка доступа. Если поставить запрещающее правило не в самый низ, а в середину списка, то строки после него обрабатываться не будут, а доступ будет закрыт.

      После описания всех необходимых правил для фильтрации трафика необходимо привязать список доступа ACL_INSIDE_IN ко внутреннему интерфейсу inside. До привязки он никак не влияет на проходящий через межсетевой экран трафик. Для привязки используется следующая команда:
      FW-DELTACONFIG(config)#
      access-group ACL_INSIDE_IN in interface inside
      Дополнительно разрешаем автоматический прием обратных пакетов icmp
      FW-DELTACONFIG(config)#
      policy-map global_policy
      class inspection_default
      inspect icmp
      Для доступа извне список доступа будет меньше так как в нем нам необходимо разрешить только доступ на веб сервер офиса. Это правило будет дополнять правила трансляции адресов, а именно строку, которая транслирует внутренний адрес веб сервера в адрес внешнего интерфейса межсетевого экрана.

      Создаем список доступа ACL_OUTSIDE_IN и привязываем его ко внешнему интерфейсу outside по аналогии с тем, как сделали это в примере выше.
      FW-DELTACONFIG(config)#
      access-list ACL_OUTS >any interface outside eq 80
      access-list ACL_OUTSIDE_IN extended deny ip any any log
      access-group ACL_OUTSIDE_IN in interface outside

      Не забываем про статический NAT

      Для версии 8.2.X и старше

      Для версии 8.3.X и новее

      Теперь в конфигурации присутствуют как правила трансляции (static NAT), так и строки в списках доступа (access lists), разрешающие трафик. Поэтому при обращении любого хоста из сети Интернет к адресу внешнего интерфейса межсетевого экрана outside (200.150.100.2) по порту TCP 80(http) запрос будет разрешен и трансформирован в запрос ко внутреннему адресу веб сервера фирмы (192.168.10.200).

      Все описанные выше функции и настройки присутствуют в конфигурациях практически каждого межсетевого экрана Cisco ASA. Надеюсь, что этот простой пример поможет Вам. Не стесняйтесь написать мне, если у Вас возникли вопросы.

      Важно!

      Не забудьте сохранить конфигурацию командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
      FW-DELTACONFIG-1# write
      Building configuration.
      [OK]

      Видео на английском языке о базовой настройке Cisco ASA. Немного отличается в деталях от того, что описано в статье, однако все ключевые моменты настройки выполнены точно по этой инструкции.


      [an error occurred while processing the directive]
      Карта сайта