Академический Документы
Профессиональный Документы
Культура Документы
int g0/0
ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown
Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет
сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется
качественно, а не количественно, т.е. важно только отношение «больше-меньше». По
умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на
интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно
пропускаются только ответы по этим сессиям. Трафик же, идущий «внутрь» по умолчанию
запрещен.
Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не
физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим»
(inside, outside, dmz, partner и т.д.). По идее, как утверждает сама cisco, имя не зависит от
регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что
довольно неудобно. Характерный пример: применение crypto map на интерфейс требует
точного написания названия интерфейса. Название интерфейса продолжается нажатием
кнопки TAB, т.е. можно набрать начало названия и табулятором продолжить его до конца,
если набранное начало однозначно идентифицирует интерфейс.
Такая настройка интерфейсов характерна для всех моделей ASA, кроме ASA 5505. В модели
5505 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5505
задаются на логических интерфейсах.
interface f0/0
switchport access vlan {#}
Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого
поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу
маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим
маршрутизаторов, где может использоваться до 16 параллельных путей.
Маршрут по умолчанию задается таким же образом
Если возникает задача сделать запасной статический маршрут, который будет работать
только при пропадании основного, то это решается указанием так называемой
Административной дистанции маршрута. Это такое число от 0 до 255, которое указывает,
насколько хорош метод выбора маршрута. Например, статическим маршрутам по умолчанию
сопоставлена AD 1, EIGRP – 90, OSPF – 110, RIP – 120. Можно явно указать AD для
запасного маршрута больше, чем AD основного. Например:
route outside 0.0.0.0 0.0.0.0 {next-hop} 1
route backup 0.0.0.0 0.0.0.0 {next-hop_backup} 210
Но в этой ситуации есть один важный вопрос: как заставить «пропасть» основной маршрут?
Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а
провайдер погиб? Это очень распространенная ситуация, учитывая, что на ASA сплошной
ethernet, который физически падает крайне редко.
Для решения этой задачки используется технология SLA. Она весьма развита на
классических маршрутизаторах, а на ASA с версии 7.2 внедрили только самый простой
механизм: доступность некоторого хоста по протоколу icmp. Для этого создается такая
«пинговалка» (sla monitor)
Далее, её необходимо запустить, указав время начала (есть возможность запустить «сейчас»)
и окончания работы (можно задать работу до бесконечности)
Но и это ещё не все. Надо создать «переключатель» (track) который будет отслеживать
состояние «пинговалки».
И вот теперь все готово, чтобы применить эту конструкцию к статической маршрутизации
Приведу пример конфига двух дефолтных маршрутов через разных провайдеров с проверкой
доступности основного провайдера:
sla monitor 1
type echo protocol ipIcmpEcho 1.1.1.1 interface outside
sla monitor schedule 1 start now life forever
track 11 rtr 1 reachability
route outside 0 0 1.1.1.1 track 11
route backup 0 0 2.2.2.1 210
Удаленное управление
ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного
управления. Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по
телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен
доступ, а также необходимо задать пароль на телнет командой passwd:
Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и
дефолтные ключи сгенерированы, однако как минимум это надо проверить
Наличие хотя бы каких-то ключей RSA уже позволяет работать по ssh. Но можно
дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя
ключевой пары
Пример конфигурации
Здесь настроено 2 интерфейса (в данном случае это gigabitethernet 0/0 и 0/1, однако на разных
платформах это могут быть и другие физические интерфейсы), inside и outside, дефолтный
маршрут, разрешен удаленный доступ по ssh и https ото всюду, при этом аутентификация
использует локальную базу данных пользователей.
hostname MyAsa
!
domain name anticisco.ru
!
interface g0/0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.252
no shut
!
int g0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shut
!
! на ASA запись 0.0.0.0 можно сократить до 0
!
route outside 0 0 1.1.1.1
!
username admin password cisco privilege 15
!
ssh 0 0 inside
ssh 0 0 outside
!
http 0 0 inside
http 0 0 outside
!
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
interface f0/0
switchport access vlan {#}
Существует 2 типа вланов в данной технологии, primary, основной влан который берется за
основу и представляется не private vlans, как обычный не показывающий id внутридоменных
вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны
различия этих понятий.
Итого подытожив, получим следующее.
Promiscuous (или Uplink, к примеру в allied telesyn) — режим пропускания трафика,
применяется в случаях, когда не нужно ограничивать доступность (тот же файловый сервер,
маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается
трафиком как с изолированными, так и как сказано выше с вланами не использующие
технологию pvlan.
Isolated — как раз порт, который находится в изолированном состоянии т.е. находится в
своем под-домене, и не имеет доступ к другим изолированным под-доменам, так же, как и к
нему. Видит он только порты, которые находится в promiscuous состоянии, применяется,
когда хост в сети требует к себе особой безопасности.
Community – деление на под домены не один порт, а несколько портов в отдельном домене.
Другими словами, хосты в этом домене видят как своих соседей по под-домену, так и хосты в
promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.
Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и
дефолтные ключи сгенерированы, однако как минимум это надо проверить
Наличие хотя бы каких-то ключей RSA уже позволяет работать по ssh. Но можно
дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя
ключевой пары
Для того чтобы создать сетевой объект используется следующая последовательность команд
(3 пункт опционален):
Сервисные объекты
Сервисный объект определяет протокол, а также (необязательно) порт источника и/или порт
назначения.
Списки доступа состоят из одной или нескольких строк (ACEs), каждая из которых определяет
разрешающее или запрещающее правило (на передачу или отброс трафика), которое, в свою
очередь, применяется к протоколу, адресу источника/назначения или сети и (опционально), к
порту источника/назначения.
2. Расширенные списки контроля доступа (Extended access lists) – Состоит из одной или
нескольких записей (ACEs), указывающих адреса источников, назначения, тип
протокола, порты источника/назначения или тип ICMP. Используются для контроля
трафика в сети.
3. Списки контроля доступа EtherType (EtherType access lists) - Состоит из одной или
нескольких записей (ACEs), определяющих EtherType.
5. Списки контроля доступа IPv6 (IPv6 access lists) – Применяются к интерфейсам роутера,
и определяют какой IPv6 трафик передавать или отбрасывать.