Меню

Cisco asa настройка подключения asdm



Cisco asa настройка подключения asdm

суббота, 2 августа 2014 г.

Подключение и настройка ASDM на cisco ASA в GNS3

Для начала, вам необходимо получить этот самый ASDM (в нашем случае я буду использовать asdm-625). Скачать его можно в интернете. Вот вам google в помощь :). Елсли вы раздобыли ASDM 5-ой версии и он у вас не запустился на вашей windows, то поставьте себе 5-ую версию Java. (спасибо Buzy за информацию).
Для реализации наших планов я буду использовать следующую схему:

На схеме видно, что cisco ASA подключена к облаку через свитч (SW1). Это специфика подключения PIX и ASA в GNS3. Напрямую, как роутеры, у вас не получится подключиться к облаку, которое, в свою очередь, подключено на VMWare Network Adapter VMnet1.
Как настраивать подключение GNS3 к реальному компьютеру или сети (подключение к VMWare Workstation осуществляется так же, только надо выбрать не loopback – интерфейс в настройках облака, а VMWare Network Adapter VMnet1) можно посмотреть тут .
Как вы уже поняли, в качестве рабочего места администратора 🙂 я буду использовать виртуальную машину с windows XP.
Приступаем к работе :).
Настроим наше устройство (cisco ASA). Запускаем его и заходим по консоли. Конфигурация следующая:

  • ciscoasa> en
  • Password:
  • ciscoasa# conf t
  • ciscoasa(config)# hostname ASA – задаем название устройству;
  • ASA(config)# enable password cisco – ставим пароль на enable;
  • ASA(config)# username admin password ciscocisco privilege 15 – создаем локальную учетную запись администратора с полными правами (понадобится при подключении через ASDM);
  • ASA(config)# int ethernet 0/0
  • ASA(config-if)# nameif inside – называем интерфейс;
    INFO: Security level for «inside» set to 100 by default.
  • ASA(config-if)# ip address 192.168.1.254 255.255.255.0 – назначаем ему IP – адрес;
  • ASA(config-if)# no shutdown
  • ASA(config-if)# exit
  • ASA(config)# http server enable – включаем HTTPS сервер (именно HTTPS, слушается порт 443);
  • ASA(config)# http 192.168.1.0 255.255.255.0 inside – прописываем, кому можно ходить на hhtps;
  • ASA(config)# access-list ADMIN extended permit ip 192.168.1.0 255.255.255.0 any –создаем список доступа (специфика устройств безопасности);
  • ASA(config)# access-group ADMIN in interface inside – применяем список доступа на In интерфейса inside;
  • ASA(config)# copy run disk0:/.private/startup-config – сохраняем настройки;

Если у вас не запустились стандартные политики безопасности на устройстве, то следующие команды помогут вам это сделать вручную (сделаем это для полноты картины :)):

  • ASA(config)# class-map inspection_default
  • ASA(config-cmap)# match default-inspection-traffic
  • ASA(config-cmap)# policy-map type inspect dns preset_dns_map
  • ASA(config-pmap)# parameters
  • ASA(config-pmap-p)# message-length maximum 512
  • ASA(config-pmap-p)# policy-map global_policy
  • ASA(config-pmap)# class inspection_default
  • ASA(config-pmap-c)# inspect dns preset_dns_map
  • ASA(config-pmap-c)# inspect ftp
  • ASA(config-pmap-c)# inspect h323 h225
  • ASA(config-pmap-c)# inspect h323 ras
  • ASA(config-pmap-c)# inspect rsh
  • ASA(config-pmap-c)# inspect rtsp
  • ASA(config-pmap-c)# inspect esmtp
  • ASA(config-pmap-c)# inspect sqlnet
  • ASA(config-pmap-c)# inspect skinny
  • ASA(config-pmap-c)# inspect sunrpc
  • ASA(config-pmap-c)# inspect xdmcp
  • ASA(config-pmap-c)# inspect sip
  • ASA(config-pmap-c)# inspect netbios
  • ASA(config-pmap-c)# inspect tftp
  • ASA(config-pmap-c)# service-policy global_policy global
  • ASA(config)#

Теперь давайте проверим сетевую доступность всех наших устройств:

  • 1 – IP–адрес VMWare Network Adapter VMnet1 на локальной (физической) машине;
  • 2 – IP–адрес виртуальной машины в VMWare Workstation.

Видно, что связь присутствует. На этом, необходимые настройки на cisco ASA мы сделали. Теперь нам надо положить на устройство ASDM, скачанный ранее. Для этого будем использовать любой tftp – server.
Я буду использовать 3CDaemon (старенький, но какой есть :)). Запускаем его на виртуальной машине, настраиваем ему рабочую папку:

Теперь кладем в рабочую папку наш ASDM и запускаем tftp – сервер.
Возвращаемся на cisco ASA и скачиваем с tftp – сервера файл во flash. Для этого выполняем команду

  • ASA(config)# copy tftp: flash:

  • 1 – IP–адрес tftp-сервера (находится на виртуальной машине);
  • 2 – название файла ASDM на tftp-сервере;
  • 3 – название файла ASDM во flash cisco ASA;

Проверим наличие файла во flash устройства и посмотрим, чтобы файл ASDM был подключен:

Все готово. Теперь перейдем на нашу виртуальную машину и попробуем запустить наш ASDM. Запускаем браузер и вводим адрес устройства (https://192.168.1.254). Должно открыться окно с предупреждением безопасности о недоверенном соединении.

Читайте также:  Использовать сценарий автоматической настройки не убирается

Со всем соглашаемся (устанавливаем (получаем) сертификат и добавляем источник в исключения). Нажимаем на «Подтвердить исключение безопасности» и у вас откроется следующее окно:

Нажимаем «Run ASDM». У вас появится уведомление, что сейчас будет открыт Java файл.

Нажимаем «OK». Если у вас вдруг не запустилось, то проверьте настройки Java у вас на виртуальной машине. Вполне возможно, что она устарела или не установлена вообще. Тогда надо либо установить новую, либо обновить имеющуюся. У меня установлена Java 6.
Если с Java все в порядке, то у вас должно появиться следующее окно:

Отмечаем пункт «Always trust content from this publisher» и нажимаем «Yes». Откроется следующее окно:

Здесь вводим наш username и password, которые мы настроили ранее на устройстве. Нажимаем «OK» и ВУАЛЯ.

Источник

Настройка туннелей IKEv1 IPsec типа «сеть-сеть» на ASA с помощью ASDM или интерфейса командной строки

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описывается настройка туннеля типа «узел-узел» по протоколу IPsec IKEv1 между многофункциональным устройством обеспечения безопасности Cisco ASA серии 5515-X, которое работает под управлением ПО версии 9.2.x, и Cisco ASA серии 5510, которое работает под управлением ПО версии 8.2.x.

Предварительные условия

Требования

Cisco рекомендует выполнить следующие требования, прежде чем приступить к настройке, которая описывается в этом документе:

    Должно быть установлено сквозное IP-подключение.

Должны быть разрешены следующие протоколы:

    Протокол UDP 500 и 4500 для уровня управления IPsec

  • IP-протокол ESP 50 для уровня передачи данных IPsec
  • Используемые компоненты

    Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

      Cisco ASA серии 5510 под управлением ПО версии 8.2

  • Cisco ASA 5515-X под управлением ПО версии 9.2
  • Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

    Настройка

    В этом разделе описывается настройка туннеля VPN типа «узел-узел» с помощью мастера VPN диспетчера устройств адаптивной защиты (ASDM) или через интерфейс командной строки.

    Схема сети

    Это топология, которая используется для примеров во всем этом документе:

    Настройка с помощью мастера VPN ASDM

    Для того чтобы настроить туннель VPN типа «узел-узел» с помощью мастера ASDM, выполните следующие действия:

      Откройте ASDM и выберите Wizards > VPN Wizards > Site-to-site VPN Wizard (Мастеры > Мастеры VPN > Мастер VPN типа «узел-узел»):

    На главной странице мастера нажмите кнопку Next (Далее):

    Примечание. В последних версиях ASDM предоставляется ссылка на видео, которое объясняет эту конфигурацию.

    Настройте IP-адрес однорангового узла. В данном примере устанавливается IP-адрес 192.168.1.1 на объекте B. Если настраивается IP-адрес однорангового узла на объекте A, значение необходимо изменить на 172.16.1.1. Также следует указать интерфейс, через который можно установить связь с удаленным терминалом. Выполнив эти действия, щелкните Next (Далее).

    Настройте локальную и удаленную сети (источник и назначение трафика). На рисунке показана конфигурация для объекта B (для объекта A указывается обратное):

    На странице Security (Безопасность) настройте предварительный общий ключ (это значение должно совпадать на обоих терминалах). Выполнив эти действия, щелкните Next (Далее).

    Читайте также:  Настройка лайтрума с фотоаппаратом

    Настройте исходный интерфейс для трафика на ASA. ASDM автоматически создает правило преобразования сетевых адресов (NAT) на основе версии ASA и передает его с остальной частью конфигурации на заключительном шаге.

    Примечание. Для примера, который используется в этом документе, источником трафика является внутренний интерфейс.

    Теперь мастер представляет сводку конфигурации, которая будет передана в ASA. Просмотрите и проверьте параметры конфигурации, а затем щелкните Finish (Готово).

    Настройка с помощью интерфейса командной строки

    В этом разделе описывается настройка туннеля IPsec IKEv1 типа «узел-узел» с помощью интерфейса командной строки.

    Настройка объекта B для ASA версии 8.4 и последующих версий

    В ASA версии 8.4 и последующих версий появилась поддержка IKEv1 и IKEv2.

    Совет: Дополнительную информацию о различиях между этими двумя версиями см. в разделе Причины перехода на IKEv2? документа Cisco Быстрая миграция конфигурации туннеля L2L от IKEv1 к IKEv2 в коде ASA 8.4.

    Этап 1 (IKEv1)

    Для настройки параметров этапа 1 выполните следующие действия:

      Для того чтобы включить IKEv1 на внешнем интерфейсе, введите в интерфейсе командной строки следующую команду:

    Создайте политику IKEv1, определяющую алгоритмы/методы, которые будут использоваться для хеширования, аутентификации, группы Диффи-Хеллмана, срока действия и шифрования:

    Создайте туннельную группу под атрибутами IPSec, а затем настройте IP-адрес однорангового узла и предварительный общий ключ:

    Этап 2 (IPsec)

    Для настройки параметров этапа 2 выполните следующие действия:

      Создайте список контроля доступа, определяющий трафик для шифрования и туннелирования. В данном примере интересующий трафик — это трафик из туннеля, происходящий из подсети 10.2.2.0 в 10.1.1.0. Список может содержать несколько записей, если между узлами задействовано несколько подсетей.

    В версии 8.4 и последующих версиях можно создавать объекты или группы объектов, которые служат контейнерами для сетей, подсетей, IP-адресов хостов или нескольких объектов. Создайте два объекта, которые имеют локальную и удаленную подсети и используют их для списка контроля доступа (ACL) криптографии и для операторов NAT.

    Настройте набор преобразований (TS), который должен включать ключевое слово IKEv1. Также необходимо создать аналогичный TS на удаленном терминале.

    Настройте криптосхему, которая содержит следующие компоненты:

      IP-адрес однорангового узла

    Заданный список контроля доступа, который содержит нужный трафик

    Набор преобразований (TS)

    Дополнительную настройку полной безопасности пересылки (PFS), создающую новую пару ключей Диффи-Хеллмана, которые используются для защиты данных (поддержка PFS должна быть включена на обеих сторонах перед этапом 2),

    !— Примените криптокарту к внешнему интерфейсу:

    Исключение NAT

    Убедитесь, что на трафик VPN не распространяется никакое другое правило NAT. Ниже приведено используемое правило NAT:

    Примечание. При использовании нескольких подсетей необходимо создать группы объектов со всеми исходными и целевыми подсетями, а затем использовать их в правиле NAT.

    Пример полной конфигурации

    Ниже приведена завершенная конфигурация для объекта B:

    Настройка объекта A для ASA версии 8.2 и более ранних версий

    В этом разделе описывается настройка объекта A для ASA версии 8.2 более ранних версий.

    Этап 1 (ISAKMP)

    Для настройки параметров этапа 1 выполните следующие действия:

      Введите эту команду в интерфейсе командной строки, чтобы включить протокол ISAKMP на внешнем интерфейсе:

    Примечание. Так как несколько версий IKE (IKEv1 и IKEv2) не поддерживаются, для ссылки на этап 1 используется протокол ISAKMP.

    Создайте политику ISAKMP, определяющую алгоритмы/методы, которые будут использоваться для выполнения этапа 1.

    Примечание. В данном примере конфигурации ключевое слово IKEv1 из версии 9.x заменено на ISAKMP.

    Создайте туннельную группу для IP-адреса однорангового узла (внешний IP-адрес 5515) с предварительным общим ключом:

    Этап 2 (IPsec)

    Для настройки параметров этапа 2 выполните следующие действия:

      Аналогично конфигурации в версии 9.x необходимо создать расширенный список контроля доступа для определения интересующего трафика.

    Определите набор преобразований, который содержит все доступные алгоритмы шифрования и хеширования (предлагаемые пункты имеют вопросительный знак). Убедитесь, что он идентичен набору, настроенному на другой стороне.

    Настройте криптосхему, которая содержит следующие компоненты:

      IP-адрес однорангового узла

    Читайте также:  Настройка службы управления правами active directory 2012

    Заданный список контроля доступа, который содержит нужный трафик

    Набор преобразований (TS)

  • Дополнительную настройку PFS, создающую новую пару ключей Диффи — Хеллмана, которые используются для защиты данных (поддержка PFS должна быть включена на обеих сторонах перед этапом 2),
  • !— Примените криптокарту к внешнему интерфейсу:

    Исключение NAT

    Создайте список контроля доступа, определяющий трафик, который будет освобожден от проверок NAT. В этой версии он выглядит аналогично списку контроля‏ доступа, который вы определили для интересующего трафика:

    Если используется несколько подсетей, добавьте еще одну строку в тот же список контроля доступа:

    Этот список контроля доступа используется с NAT, как показано ниже:

    Примечание. Здесь inside относится к имени внутреннего интерфейса, на котором ASA получает трафик, соответствующий списку контроля доступа.

    Пример полной конфигурации

    Ниже приведена завершенная конфигурация для объекта A:

    Групповая политика

    Групповые политики используются для задания определенных параметров, которые применяются к туннелю. Эти политики используются в сочетании с туннельной группой.

    Групповая политика может быть задана как внутренняя, когда атрибуты извлекаются из того, что определено на ASA, или как внешняя, когда атрибуты запрашиваются с внешнего сервера. Для задания групповой политики используется следующая команда:

    Необязательные атрибуты групповой политики

    Атрибут vpn-tunnel-protocol определяет тип туннеля, к которому должны быть применены эти параметры. В данном примере используется IPsec:

    У У Можно настроить туннель таким образом, чтобы он оставался недействующим (трафик запрещен), но не выключался. Для этого значение атрибута vpn-idle-timeout должно быть указано в минутах, или можно установить значение none, что означает, что туннель никогда не выключается.

    Команда default-group-policy под общими атрибутами туннельной группы определяет групповую политику, используемую для получения некоторых настроек политики для установленного туннеля. Настройки по умолчанию для параметров, которые не определены в групповой политике, берутся из глобальной групповой политики по умолчанию:

    Проверка

    Используйте информацию, которая предоставлена в этом разделе, для проверки правильности работы вашей конфигурации.

    Для просмотра статуса туннеля от ASDM выберите Monitoring > VPN (Мониторинг > VPN). Предоставляется следующая информация:

      IP-адрес однорангового узла

    Протокол, который используется для построения туннеля

    Используемый алгоритм шифрования

    Время, когда появился туннель, и время работы

  • Количество полученных и переданных пакетов
  • Совет: Щелкните Refresh (Обновить) для просмотра последних значений, так как данные не обновляются в режиме реального времени.

    Интерфейс командной строки

    В этом разделе описывается, как проверить конфигурацию с помощью интерфейса командной строки.

    Этап 1

    Для того чтобы проверить конфигурацию этапа 1 на стороне объекта B (5515), в интерфейсе командной строки введите следующую команду:

    Для того чтобы проверить конфигурацию этапа 1 на стороне объекта A (5510), в интерфейсе командной строки введите следующую команду:

    Стадия 2

    Show crypto ipsec sa показывает SA IPSec, созданные между одноранговыми узлами. Зашифрованный туннель создан между IP-адресами 192.168.1.1 и 172.16.1.1 для трафика, который проходит между сетями 10.1.1.0 и 10.2.2.0. Можно видеть две SA ESP, созданные для входящего и исходящего трафика. Заголовок аутентификации (AH) не используется, потому что нет SA AH.

    Для того чтобы проверить конфигурацию этапа 2 на стороне объекта B (5515), в интерфейсе командной строки введите следующую команду:

    Для того чтобы проверить конфигурацию этапа 2 на стороне объекта A (5510), в интерфейсе командной строки введите следующую команду:

    Устранение неполадок

    Используйте информацию, приведенную в этом разделе, для поиска и устранения неполадок конфигурации.

    ASA версии 8.4 и последующих версий

    Для определения места сбоя туннеля используйте следующие команды отладки:

      debug crypto ikev1 127 (этап 1)

  • debug crypto ipsec 127 (этап 2)
  • Ниже приведены выходные данные выполненного примера отладки:

    ASA версии 8.3 и более ранних версий

    Для определения места сбоя туннеля используйте следующие команды отладки:

      debug crypto isakmp 127 (этап 1)

  • debug crypto ipsec 127 (этап 2)
  • Ниже приведены выходные данные выполненного примера отладки:

    Источник

    Adblock
    detector