Меню

Cisco asa 5510 настройка pppoe



Настройка Cisco ASA 5505, 5506, 5510, 5515, 5516 и др

На это странице вы найдете большую подборку уроков и советов по настройке межсетевых экранов Cisco ASA: ASA 5505, ASA 5506, ASA 5510, ASA 5515, ASA 5516 и других мало отличаются друг от друга.

СОДЕРЖАНИЕ:

  • Быстрая настройка Cisco ASA 5500-X с нуля для доступа в Интернет
  • Экспресс настройка AnyConnect VPN на Cisco ASA через ASDM
  • Первое подключение к Cisco ASA Firewall и начальная настройка
  • Настройка интерфейсов и протоколов управления Сisco ASA
  • Настройка Cisco ASA 5506-X через PPPOE
  • Cisco ASA – удаленное управление по SSH, настройка NAT
  • Сброс Cisco ASA на заводские настройки (по умолчанию)
  • Сброс пароля на Cisco ASA 5505, 5506, 5510, 5515, 5516 и др
  • Настройка DHCP на межсетевом экране Cisco ASA

Быстрая настройка Cisco ASA 5500-X с нуля для доступа в Интернет

Начальная настройка Cisco ASA с нуля командной строкой CLI и графическим интерфейсом ASDM. Типовая конфигурация ASA 5500-X для организации безопасного доступа в Интернет небольшой компании или домашней сети. Пошаговая инструкция:

Типовые вопросы по настройке Cisco ASA с нуля

  • Как настраивать ASA, когда нужно создать маршрутизацию между различными Vlan?

Если используется статика, то для каждого VLAN-а на клиентах указывается в качестве шлюза IP интерфейса/саб интерфейса ASA для этого VLAN-а. Единственная тонкость — если интерфейсы / саб интерфейсы ASA имеют одинаковый security-level, то для хождения трафика между ними надо добавить команду same-security-traffic permit inter-interface.

Если нужны динамические протоколы маршрутизации, то тут также все стандартно, включаем нужный протокол и указываем участвующие сети / подсети.

Вот пример настройки с саб интерфейсами на ASA и транком до коммутатора и статической маршрутизацией:

ip address 192.168.1.1 255.255.255.0

ip address 192.168.2.1 255.255.255.0

same-security-traffic permit inter-interface

Этого достаточно чтобы пакеты начали ходить между VLAN-ами 10 и 20

Экспресс настройка AnyConnect VPN на Cisco ASA через ASDM

Простая пошаговая настройка Cisco AnyConnect VPN на ASA с нуля через графический интерфейс ASDM.

Типовая конфигурация AnyConnect для организации безопасного удаленного доступа в корпоративную сеть через Интернет.

Типовые вопросы по настройке AnyConnect VPN:

  • Не подключается по созданному пользователю ra-user, только под локальным админом

Обратите внимание, что ra-user – это обычный пользователь, для входа в сеть, но не для доступа к самой ASA. У админа другой уровень доступа (priv 15).ы

  • Где его брать файл .pkg

Это часть пакета AnyConnect, которая доступна для скачивания с software.cisco.com при наличии аккаунта и оплаченного сервисного пакета

  • Возможно ли настроить так, чтобы определенному пользователю всегда выдавался один и тот же IP-адрес?

Метод 1. Можно и постоянный IP и индивидуальные ACL и многое другое через внешний RADIUS сервер (Cisco ACS, ISE).

Метод 2. Также это можно сделать и через атрибуты пользователя, например:

ASA(config)# username test attributes

ASA(config-username)# vpn-framed-ip-address 10.1.1.1 255.255.255.0

Если авторизация идет по локальной базе пользователей, то этот метод должен работать. Но всё надо тестировать и отлаживать, например, с помощью debug. Возможны нюансы.

Читайте также:  Hatred тормозит на любых настройках

Первое подключение к Cisco ASA Firewall и начальная настройка

В этом видеоуроке рассмотрено:

  • первоначальное подключении к Cisco ASA (настройка с нуля);
  • загрузка устройства ASA5515X-K8;
  • особенности работы в среде управления в командной строке;
  • правила и особенности настройки интерфейсов, включая наименования и уровень безопасности;
  • описание правил ASA Firewall по умолчанию.

Видео сильно облегчит жизнь тем, кто знаком с Cisco IOS CLI, но впервые подключается к Cisco ASA.

Настройка интерфейсов и протоколов управления Сisco ASA

В уроке рассмотрено:

  • правильная настройка интерфейсов Cisco ASA;
  • настройка протоколов управления telnet, ssh, http/https/ASDM;
  • особенности настройки консольного доступа;
  • настройка пользователей и enable password;
  • настройку AAA для аутентификации из локальной базы LOCAL.

А также как объединить несколько портов в транк LACP, место Native Vlan и особенности использования VLan 1 на саб-интерфейсах ASA Subinterfaces, включая PortChannel.

Настройка Cisco ASA 5506-X через PPPOE

В этом видео показано, как настроить межсетевой экран ASA 5506-X, подключив одну внутреннюю подсеть локальной сети к внешнему интернет-маршрутизатору с помощью PPPOE.

Cisco ASA – удаленное управление по SSH, настройка NAT

Сброс Cisco ASA 5505, 5506, 5510, 5515, 5516 на заводские настройки (по умолчанию)

Для сброса настроек на заводские есть простая команда: config factory-default

Сброс пароля на Cisco ASA 5505, 5506, 5510, 5515, 5516 и др

Во время загрузки нажимаем клавишу Escape и попадаем RAMMON. Отвечаем утвердительно на вопросы «Do you wish to change this configuration?» и «disable system configuration?».

rommon #1> confreg

Далее даем серию команд (пароль для enable — пустой):

hostname# copy startup-config running-config

hostname# configure terminal

hostname(config)# config factory-default

YOURPASS — Придумайте себе пароль сами:

hostname(config)# enable password YOURPASS

hostname(config)# config-register 0x10011

hostname(config)# copy running-config startup-config

Настройка DHCP на межсетевом экране Cisco ASA

Цены на сайте указаны с НДС.

При безналичном расчете цена не меняется.

Доставка по России, в Казахстан, в Беларусь. По Москве БЕСПЛАТНО!

Оперативный подбор оборудования и аналогов.

Источник

НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНА CISCO ASA 5510

Cisco ASA 5510 Security Appliance — межсетевой экран Cisco, который является достаточно популярным среди всей линейки ASA 5500, поскольку он предназначен и применяется для обеспечения безопасности на предприятиях малого и среднего бизнеса. Как и ее младшая модель ASA 5505, 5510 можно заказать как с базовой лицензий (Base license), так и с лицензией Security Plus. Лицензия Security Plus открывает дополнительные возможности производительности ASA в сравнении с базовой лицензией, такие как брандмауэр на 130.000 максимальных соединений (вместо 50.000), максимальное количество VLAN увеличено до 100 (вместо 50), расширенные возможности обеспечения отказоустойчивости и т.д. Кроме того, лицензия Security Plus позволяет двум из пяти портов ASA работать на скорости 10/100/1000Мбит/с, а не только 10/100Мбит/с.

Если вы уже приобрели лицензию, то активировать ее можно выполнив следующие команды:

Далее представлен простой сценарий доступа к сети Интернет, где Интернет-провайдер предоставил нам внешний статический IP адрес 77.77.77.1, внутренняя сеть использует следующее адресное пространство: 172.16.10.0/24. Будем использовать интерфейс Ethernet0/0 для WAN. Физический интерфейс Ethernet0/1 будет использован для подключения всех внутренних сетевых устройств. Логически, все внутренние устройства сети будут находиться в VLAN 10, отсюда задействуем логический интерфейс Ethernet0/1.10. Настроим ASA так, чтобы она автоматически выдавала IP адреса рабочим станциям по протоколу DHCP. Настроим NAT(PAT) в направлении внутренняя сеть – внешняя сеть.

Читайте также:  Мобильные настройки для facebook

Топология сети представлена ниже:

Прежде всего, необходимо настроить пароль для доступа к ASA в режиме глобальной конфигурации командой enable password MyPass, где MyPass — пароль к устройству:

Для настройки внешнего интерфейса, необходимо набрать команду interface Ethernet0/0, задать имя командой nameif outside, уровень безопасности security-level 0 и IP адрес ip address 77.77.77.1 255.255.255.252.

Настроим внутренний интерфейс Ethernet0/1.10 и поместим его в транк 802.1q для VLAN 10. Пример:

ASA(config)#interface Ethernet0/1
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#no nameif
ASA(config-if)#no security-level
ASA(config-if)#no ip address
ASA(config-if)#no shut
ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif inside
ASA(config-if)#vlan 10
ASA(config-if)#security-level 100
ASA(config-if)#ip address 172.16.10.254 255.255.255.0
ASA(config-if)#no shut

Настроим PAT:

ASA(config)#global (outside) 1 interface
ASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

Настроим маршрут по умолчанию:

Настроим DHCP сервер на ASA:

ASA(config)#dhcpd dns 88.88.88.20
ASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
ASA(config)#dhcpd enable inside

Полный конфиг будет выглядеть так:

ASA(config)#enable password MyPass

ASA(config)#interface Ethernet0/0
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#ip address 77.77.77.1 255.255.255.252
ASA(config-if)#no shut

ASA(config)#interface Ethernet0/1
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#no nameif
ASA(config-if)#no security-level
ASA(config-if)#no ip address
ASA(config-if)#no shut

ASA(config)#interface Ethernet0/1.10
ASA(config-if)#nameif inside
ASA(config-if)#vlan 10
ASA(config-if)#security-level 100
ASA(config-if)#ip address 172.16.10.254 255.255.255.0
ASA(config-if)#no shut
ASA(config)#global (outside) 1 interface
ASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

ASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

ASA(config)#dhcpd dns 88.88.88.20
ASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside
ASA(config)#dhcpd enable inside

НАСТРАИВАЕМ SSH/TELNET/ASDM АУТЕНТИФИКАЦИЮ НА ASA

aaa authentication enable console LOCAL

aaa authentication http console LOCAL — без этой команды доступ к ASDM будет свободным для каждого без логина и пароля

aaa authentication ssh console LOCAL — необходима для доступа по SSH, иначе не примет введенные логин и пароль, даже если они правильные

aaa authentication telnet console LOCAL — доступ через Telnet возможен только со стороны inside интерфейса.

Остальные необходимые команды для доступа к ASDM по http, к консоли по ssh и telnet (вариации могут быть различными):

crypto key generate rsa modulus 512 — не забудьте сгенерировать ключи RSA, они необходимы для доступа по SSH, иначе вас просто не пустит на устройство

Доступ к ASA, через Cisco Access Control Server (ACS):

TRAFFIC POLICING НА МЕЖСЕТЕВОМ ЭКРАНЕ CISCO ASA

Краткая заметка по Modular Policy Framework на межсетевых экранах Cisco ASA. Данная заметка написана относительно L3/L4 трафика.

Class-map — определяет тип трафика.

Policy-map — определяет действие для типа трафика, заданного в class-map.

Service-Policy — определяет место применения policy-map, либо глобально (input direction), либо относительно интерфейса (может быть как input так и output, что указывается в policy-map).

Читайте также:  Где настройки в снэпчате

Пример ограничения скорости скачивания (download) и загрузки (upload) на внешнем интерфейсе для HTTP 80 на ASA

Источник

Настройка Cisco ASA 5510

Cisco ASA 5510 Security Appliance относится к межсетевым экранам, популярной линейки ASA 5500. Эти устройства гарантируют высокий уровень безопасности передачи данных в сетевой среде бизнес предприятий среднего и малого масштабного уровня. Настройка PPPoE позволит поддерживать также и безопасный доступ к глобальной сети интернет из компьютеров сотрудников компании.

Сетевые экраны предлагаются конечным пользователям со стандартной лицензией Base license или с расширенной лицензией Security Plus. Последний вариант лицензии раскрывает возможность получения нового уровня производительности ASA, если сравнивать с теми возможностями, которые доступны через Base license. Если стандартная лицензия позволяет поддерживать до 50.000 соединений, то с приобретением Security Plus можно получить брандмауэр, который обеспечит защиту 130.000 соединений. Также увеличено и максимальное число VLAN. Если раньше было доступно только 50, то с новой лицензией это количество вырастает в два раза и составляет 100.

Cisco ASA 5510 владеет 5-ю портами ASA, которые в базовой лицензии могут поддерживать только скорость 10/100Мбит/с, а в лицензии Security Plus она вырастает до 10/100/1000Мбит/с.

После приобретения лицензии Security Plus она нуждается в активации. Для этого нужно выполнить следующие команды:

telecombookASA#copy running startup

Далее рассмотрим пример настройки доступа к сети интернет. Предоставляющий информационные услуги интернет-провайдер выделил для пользователя один статический IP-адрес 77.77.77.1. Для внутренней сети будет задействовано пространство 172.16.10.0/24. Для WAN используется интерфейс Ethernet 0/0, а для подключения устройств внутри сети – интерфейс Ethernet 0/1.

Согласно логике, все устройства внутренней сетевой конфигурации будут входить в VLAN 10 и потребуется задействовать интерфейс Ethernet 0/1.10. Настойка ASA будет осуществляться таким образом, чтобы происходила автоматическая раздача IP-адресов на рабочие станции. Для этого будет использоваться протокол DHCP. Проведем настройку NAT(PAT) для конфигурации внутренняя–внешняя сеть.

Топология сети будет иметь следующий вид:

Начальная настройка предусматривает настройку пароля для доступа к глобальной конфигурации. Для этого используется команда enable password MyPass, тут MyPass является паролем доступа к устройству.

telecombookASA(config)#enable password MyPass

Чтобы настроить внешний интерфейс используется команда interface Ethernet0/0. Имя задается через команду nameif outside, показатель уровня безопасности security-level 0, IP адрес – ip address 77.77.77.1 255.255.255.252.

telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252

Чтобы провести настройку внутреннего интерфейса Ethernet0/1.10 и перевести его в trunc 802.1q для VLAN 10 следует реализовать следующий блок:

telecombookASA(config-if)#no ip address

telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0

Настройка PAT

telecombookASA(config)#global (outside) 1 interface

telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

Настройка маршрута по умолчанию:

telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

!*1 – административная дистанция.

Настройка DHCP-сервера на ASA

telecombookASA(config)#dhcpd dns 88.88.88.20

telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside

telecombookASA(config)#dhcpd enable inside

Полный конфиг имеет следующий вид:

telecombookASA(config)#enable password MyPass

telecombookASA(config-if)#ip address 77.77.77.1 255.255.255.252

telecombookASA(config-if)#no ip address

telecombookASA(config-if)#ip address 172.16.10.254 255.255.255.0

telecombookASA(config)#global (outside) 1 interface

telecombookASA(config)#nat (inside) 1 172.16.0.0 255.255.0.0

telecombookASA(config)#route outside 0.0.0.0 0.0.0.0 77.77.77.2 1

telecombookASA(config)#dhcpd dns 88.88.88.20

telecombookASA(config)#dhcpd address 172.16.10.1-192.168.10.240 inside

Источник