Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.71/21: Рейтинг темы: голосов - 21, средняя оценка - 4.71
fRAKTALtEK
0 / 0 / 0
Регистрация: 11.08.2014
Сообщений: 4
1

Настройка Cisco ASA 5505

14.08.2014, 13:40. Просмотров 4219. Ответов 7
Метки нет (Все метки)

Вручили cisco asa 5505 с наилучшими и "попросили" инсталлировать в структуру сетки, а я до этого только слышал о цисках и морщился от консольных конфигов.

Если не трудно помогите разобраться.

Схема такая:
Дано: рабочая сетка 192.168.111.0 и отдельная сеть для компьютерного класса х.х.х.х(пока в проекте) всё это втыкается в...dlink dir100, провайдер с сетью 213.170.93.0 по выделенному ип раздаёт инет.
Задача: подключить рабочую и учебную сетки, изолированные друг от друга, и дать им дорогу в инет.
И, если такое возможно, настроить для учебной сетки access-list доступных сайтов.

что то пробовал сам. читал на хабре, антициско и т.д., но что бы я не делал inside не видит outside и на оборот ни в какую, да и с dmz не очень понятно...
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
14.08.2014, 13:40
Ответы с готовыми решениями:

Настройка Cisco ASA 5505 в transparent mode
Добрый день, Столкнулся с Cisco в первые, Требуется настроить МЭ в режиме Transparent mode,...

Cisco ASA 5505 можно ли в 5505 использовать DHCP настроенном на 2800
Пришлось недавно перейти с 2800 на 5505. Как всегда есть плюсы и минусы. Один из минусов -...

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Cisco Asa 5505
Объясните, пожалуйста разницу http://network.msk.ru/catalog/asa5505_series Интересует только две...

Cisco asa 5505
Здравствуйте товарищи! Я совсем новичек в cisco, подскажите пжл-та, должна ли по дефолту циска...

7
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
14.08.2014, 23:55 2
А приложите нам сюда вывод show run в спойлере.

Если в кратце, то создаем три различных вирт. интерфейса:
Кликните здесь для просмотра всего текста

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.111.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address ip_of_provider mask_of_provider
!
interface Vlan3
 no forward interface Vlan1
 nameif DMZ
 security-level 50
 ip address ip_of_class mask_of_class
!

Делаем объекты с сетями(для ната):
Кликните здесь для просмотра всего текста
C
1
2
3
4
5
6
7
8
object network =Inside_Network=
 subnet 192.168.111.0 255.255.255.0
 nat (inside,outside) dynamic interface dns
 
!
object network =Class_Network=
 subnet ip_of_subnet mask_of_subnet
nat (DMZ,outside) dynamic interface dns


Делаем маршрут по умолчанию:
Кликните здесь для просмотра всего текста
C
1
route outside 0.0.0.0 0.0.0.0 ip_of_provider_gate



Вроде ничего не забыл)
1
fRAKTALtEK
0 / 0 / 0
Регистрация: 11.08.2014
Сообщений: 4
15.08.2014, 12:35  [ТС] 3
Простите, нужно срочно уехать, вернусь попробую.
Спасибо, что откликнулись.
0
jlevistk
15.08.2014, 12:38
  #4

Не по теме:

Обращайтесь:)

0
fRAKTALtEK
0 / 0 / 0
Регистрация: 11.08.2014
Сообщений: 4
15.08.2014, 14:47  [ТС] 5
вывод команды sh run

Кликните здесь для просмотра всего текста
ciscoasa# sh run
: Saved
:
ASA Version 8.3(2)
!
hostname ciscoasa
enable password cADkXuzCaJHChBZz encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.111.51 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 213.170.93.х 255.255.255.252
!
interface Vlan3
no nameif
no security-level
no ip address
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network inside
subnet 192.168.111.0 255.255.255.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
object network inside
nat (inside,outside) dynamic interface dns
route outside 0.0.0.0 0.0.0.0 213.170.93.209 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:c5601953bcf1954798a7b650452e0882
: end


сейчас аса подключена к 2ум компам, оба компа пингуют свои инт., но комп с внутренним не пингует аутсайд...стало быть выхода в инет он не имеет?

а и ещё, при создании дмз выдаёт ошибку ограничения лецензии...пичаль
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
15.08.2014, 15:32 6
Цитата Сообщение от fRAKTALtEK Посмотреть сообщение
а и ещё, при создании дмз выдаёт ошибку ограничения лецензии...пичаль
C
1
no forward interface Vlan1
- тогда можно.

Пинг запрещен по умолчанию - нужно разрешить его в политиках.
C
1
2
3
policy-map global_policy
    class inspection_default
     inspect icmp
В интернет он доступ может и имеет)

Добавлено через 19 минут
Цитата Сообщение от fRAKTALtEK Посмотреть сообщение
C
1
2
3
4
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj_any
nat (inside,outside) dynamic interface
эту стереть из конфига.
Цитата Сообщение от fRAKTALtEK Посмотреть сообщение
C
1
http 192.168.1.0 255.255.255.0 inside
сделать доступным доступ по asdm из вашей локалки
0
fRAKTALtEK
0 / 0 / 0
Регистрация: 11.08.2014
Сообщений: 4
15.08.2014, 16:23  [ТС] 7
а как стереть часть конфига?

Что бы я вас не беспокоил чрезмерно, могли бы вы подсказать какое нибудь чтиво по настройке подобного оборудования?
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
15.08.2014, 16:26 8
Цитата Сообщение от fRAKTALtEK Посмотреть сообщение
Что бы я вас не беспокоил чрезмерно, могли бы вы подсказать какое нибудь чтиво по настройке подобного оборудования?
Что-нить типа этого, да вы читайте и спрашивайте, не стесняйтесь)
0
15.08.2014, 16:26
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
15.08.2014, 16:26

назначить IP в Cisco ASA 5505
Помогите назначить айпи Делаю следующее: ciscoasa(config)# interface Vlan1...

Firewall на Cisco ASA 5505
Доброго времени суток! Очень нужно настроить элементарную топологию сети в проге Packet Tracer (...

Cisco asa 5505 маршрутизация
Добрый день! Нужна помощь по настройке cisco asa5505! Нужно объединить два офиса, в одном офисе...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.