Базовая настройка Cisco ASA (Adaptive Security Appliance) 5505. Создание VLAN, настройка DNS, DHCP, ROUTE, NAT.

Межсетевой экран Cisco ASA 5505 оснащен встроенным коммутатором на 8 портов L2 уровня. Чтобы получить интерфейсы L3 уровня, необходимо создать виртуальный интерфейсы VLAN, задать им IP-адреса и привязать их к физическим интерфейсам.

 

Разберем на примере как выполнить настройку межсетевого экрана Cisco ASA 5505:

Исходные данные:

  • Интернет-провайдер (WAN)
  • Межсетевой экран

Задача:

  • Создать подсети (VLAN), пользовательская LAN (192.168.1.1/24), административная ADMLAN (192.150.1.1/24) и гостевая GUEST (192.130.1.1/24).
  • Привязать подсети (VLAN) с физическими интерфейсами (Ethernet). Ethernet0/0 — WAN, Ethernet0/1 — ADMLAN, Ethernet0/3 — GUEST, Ethernet0/7 — Trunk (LAN,ADMLAN, GUEST), на остальных Ethernet0/2,0/4,0/5,0/6 — LAN.
  • Настроить DHCP, для раздачи адресов подсетей (LAN, ADMLAN, GUEST).
  • Обеспечить доступ в сеть Интернет из подсетей (LAN, ADMLAN, GUEST).

 

Подключение к Cisco ASA 5505

Подключаемся к межсетевому экрану через консольный кабель (голубой кабель RJ45 — DB9). Параметры подключения стандартные (Speed — 9600, Data bits — 8, Stop bits — 1). В консоли, переходим в привилегированный режим:

По-умолчанию пароль на привилегированный режим не установлен. Его можно задать при настройке оборудования.

 

Переходим в режим конфигурации оборудования:

Зададим пароль на привилегированный режим:

 

Для удобства настройки, полностью очищаем начальную конфигурацию с устройства. Выполняем команду и подтверждаем:

В случае если необходимо восстановить начальную конфигурацию устройства, выполняем команду:

В межсетевом экране Cisco ASA перезагрузка после выполнения команд очистки или восстановления конфигурации, не требуется.

 

Создание VLAN интерфейсов

По-умолчанию на межсетевом экране уже имеется созданный VLAN 1 и он привязан ко всем портам. Так же при создании VLAN интерфейсов, нужно отдельно уделить внимание параметру security-level (Уровень безопасности). По-умолчанию, трафик проходит из зоны с более высоким значением security-level в зону с более низким, но запрещает проходить трафику в обратную сторону.

 

Настраиваем VLAN 1 (192.168.1.1/24) LAN для пользовательской локальной сети:

Создаем VLAN 10 (Х.Х.Х.Х/Х) WAN, для интернет-провайдера. Указываем ip-адрес и маску сети, которые выделил интернет-провайдер.

Создаем VLAN 20 (192.150.1.1/24) ADMLAN, для управления и контроля оборудования:

Создаем VLAN 30 (192.130.1.1/24) GUEST, для гостевой сети:

 

Отобразить все имеющиеся VLAN интерфейсы и их привязки по портам, выполним команду:

Для просмотра подробной информации по конкретному VLAN, выполняем команду:

 

Привязка VLAN к физическим интерфейсам

Связываем интерфейс WAN (VLAN 10) с интерфейсом Ethernet0/0:

Связываем интерфейс ADMLAN (VLAN 20)с интерфейсом Ethernet0/1:

Связываем интерфейс GUEST (VLAN 30) с интерфейсом Ethernet0/2:

Создание Trunk-порта (VLAN 1,20,30) на интерфейсе Ethernet0/7:

При просмотре конфигурации командой «show run», не будет видна привязка VLAN 1, к физическим интерфейсам, так как VLAN 1 привязан к каждому интерфейсу по-умолчанию.

 

Текущий статус по всем интерфейсам, выполняем команду:

 

Настройка маршрутизации пакетов

Для маршрутизации пакетов в сеть Интернет, необходимо указать шлюз по-умолчанию и интерфейс, через который он доступен (WAN):

 

Проверим на доступность канала связи с Интернет. Выполним ping узла 87.250.250.242 (ya.ru):

 

Отобразить все прописанные маршруты, выполним команду:

 

Настройка DNS

Для того чтобы межсетевой экран мог отвечать на запросы DNS, включим трансляцию имён в ip адреса на интерфейсе WAN и укажем адрес DNS сервера, который выдал интернет-провайдер:

 

Выполним ping узла ya.ru, для проверки работы DNS:

 

Отобразить DNS параметры, выполним команду:

 

Настройка DHCP

Добавление пула для сети (192.168.1.1/24) LAN:

Добавление пула для сети (192.150.1.1/24) ADMLAN:

Добавление пула для сети (192.130.1.1/24) GUEST:

 

Отобразить имеющиеся DHCP пулы, выполним команду:

 

Настройка NAT

Для доступа из имеющихся локальных сетей в сеть Интернет необходимо, транслировать адреса из локальной сети в публичный адрес.

 

Добавляем правило NAT для локальной сети (192.168.1.1/24) LAN:

Добавляем правило NAT для локальной сети (192.150.1.1/24) ADMLAN:

Добавляем правило NAT для локальной сети (192.130.1.1/24) GUEST:

 

Отобразить имеющиеся правила NAT, выполним команду:

 

Сохраняем настройки:

 

Удаление / Очистка записей в конфигурации

В процессе освоения настройки межсетевого экрана, у меня возникали моменты, когда нужны было удалить созданный VLAN или просто удалить запись в DNS, чтобы выполнить удаление, нужно перед командой писать: no. Прим. удалим созданный VLAN:

 

 

На этом базовая настройка межсетевого экрана Cisco ASA 5505, окончена.

 

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 5,00 из 5)
Загрузка...

Оставить ответ

3 × один =

© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика