Базовые настройки Cisco ASA 550-х
В этой статье мы разберем пример, как настроить подключение компьютеров, входящих во внутреннюю офисную сеть, к интернету через МСЭ Cisco ASA 5506 k9. Настройки будут включать следующие несколько шагов:
Подключите МСЭ с помощью консольного кабеля к COM-порту рабочей станции администратора. Сбросьте конфигурацию командой «clear configure all». Для дальнейших действий вам понадобится привилегированный режим доступа, перейдите в него командой “enable” и Enter.
Теперь можете задать собственный пароль для этого режима командой “enable password ваш_пароль”.
Имя устройства, по которому мы в дальнейшем будем к нему обращаться, задаем строкой «hostname ваше_название».
Внутренний интерфейс будет работать для внутренней локальной сети офиса, а через внешний, как логически следует из названия, будет происходить доступ к интернету. Задайте для каждого из интерфейсов соответствующее название, айпи-адрес, маску подсети и уровень безопасности. Значение уровня безопасности может быть от 0 до 100, внешнему присвойте 0, а внутреннему 100 (по умолчанию устройство будет пропускать трафик по направлению от более безопасной зоны к менее безопасной). Привяжите созданные логические интерфейсы к реальным физическим интерфейсам Ethernet.
Для удаленного доступа к межсетевому экрану по SSH (например, если вы предоставляете ит аутсорсинг) создайте учетную запись администратора, сгенерируйте ключи rsa и задайте список IP-адресов машин или сетей, откуда будет разрешено подключаться. Также вы можете подключаться к устройству через ASDM по https, настройки практически аналогичны приведенным выше для SSH.
Далее укажите шлюз по умолчанию для отправки пакетов в интернет командой «route outside» и выполните пинг любого внешнего адреса (в целях тестирования) из консоли межсетевого экрана.
Проверьте версию прошивки устройства, потому что для разных версий настройка NAT отличается, синтаксис команд приведен в документации к конкретной версии прошивки. Настройте трансляцию адресов из внутренней сети в интернет и наоборот, из интернета внутрь офисной сети.
Разделите пользователей на логические группы по уровню доступа и опишите в явном виде, кому из них и куда разрешен/запрещен доступ правилами вида «access-list ACL_INSIDE_IN extended permit ip object-group FULL_USR_ACCESS any».
- Сброс предыдущей конфигурации (не обязательный шаг).
- Задание имени устройства.
- Настройка внешнего и внутреннего интерфейса.
- Обеспечение возможности администрировать МСЭ удаленно.
- Указание шлюза по умолчанию.
- Настройка трансляции адресов NAT.
- Правила доступа и разрешения для пользователей.
Подключите МСЭ с помощью консольного кабеля к COM-порту рабочей станции администратора. Сбросьте конфигурацию командой «clear configure all». Для дальнейших действий вам понадобится привилегированный режим доступа, перейдите в него командой “enable” и Enter.
Теперь можете задать собственный пароль для этого режима командой “enable password ваш_пароль”.
Имя устройства, по которому мы в дальнейшем будем к нему обращаться, задаем строкой «hostname ваше_название».
Внутренний интерфейс будет работать для внутренней локальной сети офиса, а через внешний, как логически следует из названия, будет происходить доступ к интернету. Задайте для каждого из интерфейсов соответствующее название, айпи-адрес, маску подсети и уровень безопасности. Значение уровня безопасности может быть от 0 до 100, внешнему присвойте 0, а внутреннему 100 (по умолчанию устройство будет пропускать трафик по направлению от более безопасной зоны к менее безопасной). Привяжите созданные логические интерфейсы к реальным физическим интерфейсам Ethernet.
Для удаленного доступа к межсетевому экрану по SSH (например, если вы предоставляете ит аутсорсинг) создайте учетную запись администратора, сгенерируйте ключи rsa и задайте список IP-адресов машин или сетей, откуда будет разрешено подключаться. Также вы можете подключаться к устройству через ASDM по https, настройки практически аналогичны приведенным выше для SSH.
Далее укажите шлюз по умолчанию для отправки пакетов в интернет командой «route outside» и выполните пинг любого внешнего адреса (в целях тестирования) из консоли межсетевого экрана.
Проверьте версию прошивки устройства, потому что для разных версий настройка NAT отличается, синтаксис команд приведен в документации к конкретной версии прошивки. Настройте трансляцию адресов из внутренней сети в интернет и наоборот, из интернета внутрь офисной сети.
Разделите пользователей на логические группы по уровню доступа и опишите в явном виде, кому из них и куда разрешен/запрещен доступ правилами вида «access-list ACL_INSIDE_IN extended permit ip object-group FULL_USR_ACCESS any».
0 комментариев