Итак, вам достался в наследство межсетевой экран Cisco ASA. Руки чешутся подключить, настроить и заставить выполнять своё предназначение. С какой стороны к нему подойти и с чего начать?
При написании данной статьи использовался межсетевой экран Cisco ASA 5520 с версией системы 9.1 и чистой (стандартной) конфигурацией.
Настройка Cisco ASA с нуля:
1. Подключение через COM-порт
2. Настройка интерфейса управления и доступа по ssh
3. Настройка доступа через ASDM
4. Обновление системы и ASDM
5. Настройка интерфейсов
6. Настройка NAT во внешнюю сеть и ping
7. Настройка NAT снаружи во внутреннюю сеть до сервера
8. Тестирование прохождения пакетов
1. Подключение через COM-порт
Если Вы только взяли в руки Cisco ASA, то для начала работы к ней нужно подключиться через COM-порт (голубенький кабель RJ45 – DB9). Настройки порта обычно такие:
Bits per sec: 9600
Data bits: 8
Parity: none
Stop bits: 1
Flow control: none
У Cisco ASA, как и у других устройств Cisco два режима: пользовательский и привилегированный. Перейдите в привилегированный режим командой enable (можно использовать сокращение en):
ciscoasa> ciscoasa> enable ciscoasa#
У “свежей” или сброшенной к заводским настройкам Cisco ASA пароль на привилегированный режим ещё не установлен. Можно приступать к настройке: configure terminal или conf t.
ciscoasa# configure terminal ciscoasa(config)#
Все остальные команды вводятся в режиме конфигурации, если не указано другое. Команда exit, выполненная в режиме конфигурирования, вернет вас назад.
В списках команд у меня имеются комментарии, начинающиеся с символа #, их вводить НЕ надо, они для вас, циска их не поймет…
2. Настройка интерфейса управления и доступа по ssh
Cisco ASA имеет специальный интерфейс для управления. Рекомендуется иметь отдельную сеть для управления и контроля всего оборудования и серверов, недоступную для простых пользователей.
# создание пароля для привилегированного режима enable password zzz # настройка интерфейса управления interface Management 0/0 nameif manage security-level 100 ip address 192.168.1.100 255.255.255.0 no shutdown exit # настройка доступу по ssh crypto key generate rsa modulus 1024 username username password yyy passwd yyy # задайте список адресов или сетей, с которых разрешено подключаться по ssh # не стоит указывать лишнее ssh 192.168.1.22 255.255.255.255 ssh 192.168.1.33 255.255.255.255 ssh version 2 # заодно можно увеличить timeout, по-умолчанию всего 5 минут ssh timeout 15 aaa authentication ssh console LOCAL
Теперь можете подключиться к ASA по сети через ssh, можно использовать putty или linux-консоль:
ssh username@192.168.1.100
3. Настройка доступа через ASDM
Кроме настройки Cisco ASA через консоль, имеется альтернативный вариант: Cisco Adaptive Security Device Manager (ASDM). Функционал ASDM дублирует возможности CLI и сделан больше для тех кто кликает мышкой. Некоторые операции легче выполнять в ASDM, но для большинства настроек удобнее, нагляднее и проще использовать именно CLI. Рассмотрите оба варианта, выберите наиболее подходящий под ваши задачи.
# если вы не ещё не настроили доступ по ssh, то выполните команду crypto key gen... из предыдущего пункта # запуск сервера http http server enable # задайте список адресов или сетей, с которых разрешено подключаться http 192.168.1.22 255.255.255.255 manage http 192.168.1.33 255.255.255.255 manage # просмотр списка файлов на Cisco ASA dir # если доступно несколько версий ASDM, то выберите более свежую asdm image disk0:/asdm-742.bin
Для доступа к ADSM наберите в браузере https://192.168.1.100
4. Обновление системы и ASDM
Посмотреть текущие версии ПО можете так:
ciscoasa# show version Cisco Adaptive Security Appliance Software Version 9.1(7)13 Device Manager Version 7.7(1) ...
Проверить наличие более свежих версий ПО и их поддержку вашей циской можно на официальном сайте: https://software.cisco.com/download/type.html?mdfid=280582808, а вот скачать их можно только имея действующую лицензию.
Для загрузки и установки файлов обновлений на Cisco ASA проще использовать ASDM:
Загрузка: Tools -> File Management… -> File Transfer
Либо сразу с установкой: Tools -> Upgrade Software from Local Computer
Загрузка файла с командной строки выполняется одной командой (на своём компьютере поднимите сервер tftp, для windows подойдёт Tftpd32):
# запуск команды copy в интерактивном режиме copy tftp disk0: Address or name of remote host []? 192.168.1.22 Source filename []? asa917-13-k8.bin Destination filename [asa917-13-k8.bin]? Accessing tftp://192.168.1.22/asa917-13-k8.bin.........!! Writing file disk0:/asa917-13-k8.bin...........!! 27703296 bytes copied in 3.60 secs # проверьте, что файл на месте dir # выбор используемого образа системы и ASDM asdm image disk0:/asdm-771.bin boot system disk0:/asa917-13-k8.bin # сохранить настройки write memory # перезагрузка с новой версией системы reload
5. Настройка интерфейсов
Для образца возьмём самую распространённую схему сети:
- внешняя сеть с белым ip (outside);
- выделенная сеть с серверами (dmz): 192.168.20.0/29;
- локальная сеть с пользователями (lan): 192.168.10.0/24;
По умолчанию Cisco ASA будет пропускать трафик из зоны с более высоким значением security-level в зону с более низким. Почесав затылок, распределяем значения security-level: outside – 0, dmz – 50, lan – 100. Причем сами цифры значения не имеют, главное – их отношения (больше, меньше).
Порты на оборудовании – очень ценная вещь, особенно на таком. Чтобы их сэкономить можно создать несколько подинтерфейсов:
interface GigabitEthernet0/0 mac-address 0050.56xx.xxxx nameif outside security-level 0 ip address 11.11.11.11 255.255.255.248 no shutdown exit interface GigabitEthernet0/1.20 vlan 20 nameif dmz security-level 50 ip address 192.168.20.1 255.255.255.248 exit interface GigabitEthernet0/1.10 vlan 10 nameif lan security-level 100 ip address 192.168.10.1 255.255.255.0 exit interface GigabitEthernet0/1 no shutdown exit # маршрут по умолчанию route outside 0.0.0.0 0.0.0.0 11.11.11.10 1 dhcpd dns 8.8.8.8
6. Настройка NAT во внешнюю сеть и ping
Доступ во внешнюю сеть разрешен согласно выставленным security-level, но чтобы всё заработало вы должны сделать NAT:
object network lan-subnet subnet 192.168.10.0 255.255.255.0 nat (lan,outside) dynamic interface exit object network dmz-subnet subnet 192.168.20.0 255.255.255.248 nat (dmz,outside) dynamic interface exit
Готово, ваши пользователи и сервера получили доступ к Интернет. Если нужно разрешить использование icmp, то выполните следующее:
policy-map global_policy
class inspection_default
inspect icmp
exit
7. Настройка NAT снаружи во внутреннюю сеть до сервера
Вариант 1. Нужно пробросить один порт, например, 80 до сервера в dmz:
object network server-www host 192.168.20.2 nat (dmz,outside) static interface service tcp www www exit # трафик из сети outside в dmz противоречит настройкам security-level # для его пропуска настройте правила ACL (Access Control List) access-list outside_acl extended permit tcp any object server-www eq www access-group outside_acl in interface outside
Вариант 2. Нужно пробросить два порта или больше. Просто добавив новое правило nat к уже существующему, вы перепишете им первое правило, поэтому нужно всё продублировать для каждого порта:
object network server-www host 192.168.20.2 nat (dmz,outside) static interface service tcp www www exit object network server-8080 host 192.168.20.2 nat (dmz,outside) static interface service tcp 8080 8080 exit access-list outside_acl extended permit tcp any object server-www eq www access-list outside_acl extended permit tcp any object server-8080 eq 8080 access-group outside_acl in interface outside
Вариант 3. Пробрасываем все порты, на внутренний сервер (завернуть что-либо на второй сервер уже не получится):
object network server-ip host 192.168.20.2 nat (dmz,outside) static interface exit # разрешайте только нужные порты access-list outside_acl extended permit tcp any object server-ip eq www access-list outside_acl extended permit tcp any object server-ip eq 8080 access-list outside_acl extended permit tcp any object server-ip eq ssh access-list outside_acl extended permit tcp any object server-ip eq ftp access-group outside_acl in interface outside
8. Тестирование прохождения пакетов
Можете тестировать настройки так: “Николай, попробуй выйти на ya.ru… Не работает? Ясно, сейчас посмотрю…”. Более правильный подход, более быстрый и информативный – packet-tracer! Данный инструмент генерирует пакет и поэтапно показывает порядок его обработки.
Генерируем пакет из внутренней сети (от пользователя) во внешнюю:
packet-tracer input lan tcp 192.168.10.2 12345 93.159.134.3 80
Генерируем пакет из внешней сети на внешний интерфейс для www-сервера в dmz:
packet-tracer input outside tcp 8.8.8.8 12345 11.11.11.11 80
Сохранить настройки
write memory # сокращенно wm
Для начала работы выполненных настроек вполне достаточно… но только для начала. Вы не должны рассматривать данную подборку как руководство к действию, это только рекомендации с чего можно начать, своего рода “quick start guide”. А что тогда дальше? На этот вопрос однозначного ответа нет. Ответ находится в:
- организации вашей сети (сейчас и в перспективе) и месте Cisco ASA в ней;
- детальном изучении документации, статей, обзоров: какие из поддерживаемых технологий можно задействовать;
- специфика вашей организации: какие уровни безопасности и доступности сервисов необходимы;
- и т.п.
Вопросы? Замечания?
Спасибо! Пригодилось.
А подскажите, как настроить NAT с нескольких внешних IP из одной подсети на внутренние ресурсы?
Например:
172.16.13.72 (outside) 192.168.154.0/24 (lan1) сервисы для внешних клиентов
172.16.13.73 (outside) 192.168.200.0/24 (lan2) доступ в интернет для пользователей
Чтобы не тратить Ваше время на распросы, нарисуйте схемку от руки, укажите интерфейсы, сети и что хотите получить.
Спасибо за отклик!
Разобрался.
Вот пример:
nat (outside,lan) source dynamic any interface destination static WAN_IP_75 LAN_WIN7
Аналогично с другим “белым” ip на другой внутренний хост/подсеть.
Здравствуйте. Меня зовут Сергей. Работаю учителем в школе и по совместительству инженером. У нас в новой школе поставили новое оборудование. Не могли бы Вы помочь советом, как его настроить. Бьюсь уже который день.
Изначально было: ADSL модем ASUS N-10 c роутером и вифи + несколько хабов, неуправляемых коммутаторов и точек доступа. Сеть была не очень большой и он все тянул. Т.е. он работал в режиме PPPoe и раздавал по dhcp адреса всем. Вроде как роутер он хороший, но я побаиваюсь, что нагрузка на него довольна большая.
Сейчас пока что: ASUS (pppoe, dhcp) 192.168.1.10-> Edge Swith 48 750w (.17)-> неуправляемые коммутаторы, точки доступа (.20, .30, .50) и 2 блока ip камер (.2 и .3). Камеры подключены к Edge с POE (.101 — .126) и к нему же компьютеры (.11 — .99). Все это он бедный один тянет и все в одной подсети.
Есть в наличии Cisco asa 5520. Я читал по форумам, что было бы лучше модем использовать в бридже с cisco, а он уже был бы dhcp для компьютеров и хотелось бы загнать в отдельный vlan камеры. Т.е. сделать бы adsl(bridge) ->cisco -> Edge -> и там уже vlan для компов и vlan для камер. Но знаний не очень хватает к моему сожалению, по этому и обращаюсь за помощью.
Сам я уже спаял консольный провод, нашел старый комп с com портом =). Настроил на g0/0 WAN, пробовал подключить модем в бридж через asdm (вроде работал), на g0/1 lan с DHCP, m0/0 — для подключения ASDM, ssh (долго бился, чтоб оно заработало на win 7 =)) ). Можете подсказать, как организовать отдельные vlan-ы для камер и компьютеров. Уже голова кипит.
Извините за столько много букв =) Надеюсь на Вашу помощь или совет. Заранее спасибо!
Добрый день! ASA 5520 в школе с небольшой сетью это конечно перебор. Тем более что в школе задач для него придумать сложно (но можно).
Для настройки VLAN нужно создать подинтерфейс:
interface GigabitEthernet0/1.10vlan 10
nameif lan
security-level 100
ip address 192.168.10.1 255.255.255.0
exit
Ну вот как то так. Не зря же стоит в стойке, пусть пашет, раз купили.
В принципе наверное можно и без Vlan-ов обойтись. Я сделал g0/0 – WAN (ADSL), g0/1 – LAN(192.168.10.1 dhcp), g0/2 – CAM (192.168.1.1 dhcp) . Вопрос в чем. Я их воткнул в Edge Switch, как мне его настроить? На нем можно vlan создать и привязать к нему порты камер и порт g0/2, так что ли?
Все можно настроить, нужно только много читать и пробовать.
Жирный минус тому, кто выбирал оборудование… необоснованные траты.
Добрый день.
Подскажите , пожалуйста. Есть ASA 5510 за ней расположен сервер и определенный ресурс который общается с внешним миром по определенному порту. Никак не могу настроить проброс порта с внешнего мира на этот порт.
по схеме:
internet (все адреса port 40098)-Asa5510-сервер (192.168.1.21 port 198)
Версия Асы
Cisco Adaptive Security Appliance Software Version 8.4(4)1
Device Manager Version 6.4(9)
Заранее спасибо.
Ну, если по пункту 7 все варианты не работают, то вопрос: а что конкретно делаете? В статье используется версия 9.1
Добрый день!Спасибо за статью очень информативно и познавательно.Подскажите пожалуйста,что делать в ситуаций когда есть ASA 5512 раздающая сеть 192.168.1.0/24 и есть микротик раздающий сеть 10.0.0.0/8 .Физика общая : ASA соединенна с catalyst 2960 в который воткнут мироктик имеющий ip адрес 192.168.1.27.Нужно,чтобы из сети 192.168.1.0/24 иметь доступ ко всему оборудованию в сеть 10.0.0.0/8.На ASA прописал static route 10.0.0.0 255.0.0.0 192.168.1.27 после чего ping с asa на любое устройство сети 10.0.0.0/8 начало пинговаться,но если я с любого рабочего места пытаются сети 192.168.1.0/24 пинги не проходят. Я понимаю ,что затык где то в правилах firewall или nat на ASA, но из-за малоопытности не понимаю какие именно правила прохождения трафика нужны.На Микротике никаких запрещающих правил нет из сети 10.0.0.0/8 спокойно имею доступ к любому оборудованию в сети 192.168.1.0/24. Заранее спасибо.
Если вопрос еще актуален, то набросайте рисунок сети с указанием портов оборудования и ip, а также список правил FW
подскажите пожалуйста как настроить на интерфейсе 5520 ppoe соединение
Здравствуйте,
подскажите пожалуйста как мне создать подключение Cisco ASA 5510 с Cisco Access Server 2509 через consol port для удалённого доступа? С Access Server я безпроблемно вхожу в своё домашнее оборудывание Сisco routers и switches, но с ASA не получается. Постоянно переключать консольный кабель надоело порядком. Информации на сей счёт практически отыскать не удалось. Обращался к Алексею Николаеву, он CCIE на youtube целый канал по данным вопросам ведёт, но помощи от него не дождался. Он скинул мне ссылку как конфигурировать Cisco Access Server, хотя мне это не надо, он у меня превосходно работает, а второе моё сообщение с просьбой пояснить конфигурацию ASA попросту удалил… это конечно типично в общении между русскими людьми, у нас лишь иностранцев уважают, но мне так и не удалось выполнить задуманное. Я прописывал Telnet на ASA так как читал, что сервер использует reversed Telnet, но запрос на сессию с сервера ASA упрямо сбрасывает.
Посему обращаюсь к вам за разъяснениями.
Благодарю заранее,
Сергей.
Access Server у меня нет… да Cisco ASA уже тоже нет (новая работа). Надо читать и пробовать, а потом еще читать и еще пробовать. Может ssh?
Благодарю за быстрый ответ, Александр.
Буду искать дальше.
Добрый день.
Есть некая компания? у нее внешний адрес 189.12.45.x им нужно по RDP попадать в мою сеть на определенную машину . Подскажите , пожалуйста, что надо написать в ASA5510 в acl листе и nat
мой конфиг отказывается работать.
Спасибо.
Ваш случай это “7. Настройка NAT снаружи во внутреннюю сеть до сервера”, подпункты 7.1 или 7.2, в зависимости от остальных настроек.
Если по пункту 7.1, то например так:
Добрый день. Купили аса 5506, вроде все настроек как полагается, идут пинги, но интернета нет. Самого WEB’ а. в acl правило разрешить все и всем!
Посмотрите, что происходит с вашими пакетами. Всё ли проходит? Работает ли NAT, если он нужен? tcpdump – лучший друг!
Здравствуйте Александр! Нужна ваша помощь.
Имеется оборудование провайдера с Выделенными СЕ (10.207.220.10/29) и РЕ (10.207.220.9/29) чтоб организовать VPN между двумя офисами.
Оборудование провайдера патч-кордом соединяю с коммутатором Cisco 2960 (порту назначаю 201 VLAN) и
interface GigabitEthernet2/0/24
switchport trunk allowed vlan 2-255
switchport mode trunk
ip address 10.207.220.12 255.255.255.248
Коммутатор соединен с ASA 5506 на котором
interface GigabitEthernet1/2.40
vlan 201
nameif ****
security-level 50
ip address 10.207.220.11 255.255.255.248 (из подсети с CE и РЕ)
Делаю
route outside 0.0.0.0 0.0.0.0 86.57.167.254 1
route vlan 201 10.*.0.0 255.255.0.0 10.207.220.10 1 (Чтоб пакеты пошли через VPN или сначала нужно указать ip порта коммутатора)
route vlan 201 10.***.0.0 255.255.0.0 10.207.220.10 1
c ASA ping на 2960 проходит, но ping c 2960 на CE и PE не идет. Что не так делаю. С ноутбука через простой коммутатор (D-Link не управляемый) если соединяюсь с оборудованием провайдера, ставлю шлюзом СЕ и тогда PE пингуется.
Т.е. к провайдеру вопросов нет, а вот где я запутался? На 2960 или на ASA???
Помогите новичку разобраться.
К сожалению (или к счастью), сейчас сетями не занимаюсь. Попробуйте нарисовать схему с указанием всех узлов, адресов и маршрутов. После этого тестируйте прохождение пакетов в каждой точке, так сразу будет понятно где проблема. Не забывайте про возможности ASA по моделированию прохождения пакетов.
Добрый день ! Подскажите как на asa5506 использовать BVI ? Bridge group interface ? к сожалению не могу понять… создаю интерфейс, объединяю в него порты с 3 по 8, называю его например – штышвуб но в правилах NAT я не могу использовать имя inside… cisco мне пишет ошибку:
Ну например при попытке создать правило NAT с использованием имени группы портов inside – следующая ошибка:
[ERROR] nat (inside,outside) static interface service tcp 8443 8443
[OK] object network controller
object network controller
[ERROR] nat (inside,outside) static interface service tcp 8443 8443
nat (inside,outside) static interface service tcp 8443 8443
^
ERROR: % Invalid input detected at ‘^’ marker.
Могу только использовать имена портов inside_7 например… (куда физически подключено оборудование)
Но физически … получается пререткнул сетевой кабель в порт inside_6 и все… работать не будет.
В 5505 можно было использовать vlan… что ж теперь делать ? нельзя сразу на группу портов оперировать правила NAT ? Спасибо заранее за ответ !
Отличная статья, спасибо! Подскажите пожалуйста, какой межсетевой экран Cisco ASA лучше выбрать? Присмотрела тут https:// ********/katalog-oborudovaniya/setevoe-oborudovanie/mejsetevye-ekrany-setevye-ekrany Какая модель лучше?
Не корректный вопрос! Нет лучшей модели, поскольку задачи у всех разные как и бюджеты. Нужно обратиться к Вашему поставщику и описать задачу.
Здравствуйте.
1. Была настроена ASA 5505, отключилось питание на несколько секунд, потом восстановилось. В итоге ASDM пропал. Это нормально для ASA? я где-то читал, что может конфиг частично слетать, необосновано. При этом сеть работает, два VLANа работают, но доступ извне тоже отключился проброшенный на один из VLANов.
Спасибо.
2. И еще вопрос – я пытаюсь настроить ее сам (но чаще помогает друг), помогите понять – у ASA разные прошивки позволяют использовать разные команды и иногда нагуглив нужное – команды не срабатывают. Есть ил где то четки мануал на каждую из версий прошивок, чтобы как энциклопедию можно было использовать при настройке?
PS: у меня сеть простая, за ASA стоит WiFi точка и ПК, на одной подсети, к ним доступа снаружи нет. На второй подсети к паре IP доступ был извне. Хочу восстановить ASDM, доступ к второй подсети и создать новый доступ к ASA,чтобы удаленно настроить можно было, из другого города.
1. Любой сбой это ненормально, но сбои возможны на любом ПО и оборудовании;
2. По мануалу не подскажу.
здравствуйте! у меня есть вопрос. asa имеет stateful packet inspect. значит если мы создаём rule, для разрешения трафика из внутри в вне( например http), то обратный трафик будет автоматически проходит ( несмотря на acl). ну почему это правило не включает протокол icmp.зон inside security-level 100, зон outside security-level 0, значит трафик icmp запрос всегда разрешенный из внутри через asa в outside, но почему ответный трафик не разрешенный как протокол http…объясните! пожалуйста. ранее спасибо вам
Здравствуйте! Что значит “ответный трафик не разрешенный”? Можете пояснить примером задачи: что Вы пингуете изнутри наружу и что Вы хотите пинговать снаружи?
Как запретить отдельным IP – адресам выходить в интернет?
Здравствуйте. А при такой настройке получается надо обязательно подключать асу 5510+ к свитчу через транк?
Если просто делать nameif outside на ETh0/0, вншеняя сеть же будет отделена от внутренней без вланов?
По этой статье непонятно, как Management интерфейс вообще подключается дальше, что с ним делать
Уже 5 лет не трогал Cisco ASA, ушел в сторону виртуализации и автоматизации. Поэтому я не имею права отвечать на Ваши вопросы, т.к. это будут ответы от «диванного эксперта».