Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.72/18: Рейтинг темы: голосов - 18, средняя оценка - 4.72
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
1

Настройка Cisco ASA 5505 в transparent mode

07.04.2015, 10:19. Просмотров 3463. Ответов 18
Метки нет (Все метки)

Добрый день,

Столкнулся с Cisco в первые,

Требуется настроить МЭ в режиме Transparent mode, для того чтобы поставить его между роутером с внутренним IP 192.168.1.1 и ЛВС 192.168.1.0/24. Код настройки ниже, что-то видимо не прописал. Прошу подсказать, в чем ошибся, т.к. пользователи ЛВС так и не получают Интернет. Версия ASA как видно ниже - 8.2(1)

Код настройки:


Кликните здесь для просмотра всего текста
!
ASA Version 8.2(1)
!
firewall transparent
hostname asa5505
enable password SOMEPASS encrypted
passwd SOMEPASSWORD encrypted
names
!
interface Vlan1
nameif inside
security-level 100
!
interface Vlan2
nameif outside
security-level 0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
boot system disk0:/asa821-k8.bin
ftp mode passive
same-security-traffic permit inter-interface
access-list OUTSIDE_IN extended permit ip any any
access-list OUTSIDE_IN extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500
ip address 192.168.1.55 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group OUTSIDE_IN in interface inside
access-group OUTSIDE_IN in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication http console LOCAL
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username star10 password GqtERt9swxMu36aV encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:4cb6acf88c6d372976253d5dd2272a07
asa5505(config)#
asa5505(config)#
asa5505(config)# sho
asa5505(config)# show sw
asa5505(config)# show switch
ERROR: % Incomplete command
asa5505(config)# show switch
asa5505(config)# show switch ?

exec mode commands/options:
mac-address-table mac address table
vlan Vlan information
asa5505(config)# show switch v
asa5505(config)# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside down Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside down Et0/0
asa5505(config)#
asa5505(config)# show switch ma
asa5505(config)# show switch mac-address-table
Legend: Age - entry expiration time in seconds

Mac Address | VLAN | Type | Age | Port
-------------------------------------------------------
503d.e547.2669 | 0001 | static | - | In0/1
ffff.ffff.ffff | 0001 | static broadcast | - | In0/1,Et0/0-7
503d.e547.2668 | 0002 | static | - | In0/1
ffff.ffff.ffff | 0002 | static broadcast | - | In0/1,Et0/0-7
Total Entries: 4

asa5505(config)#
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.04.2015, 10:19
Ответы с готовыми решениями:

Настройка Cisco ASA 5505
Вручили cisco asa 5505 с наилучшими и "попросили" инсталлировать в структуру сетки, а я до этого...

Cisco ASA 5505 можно ли в 5505 использовать DHCP настроенном на 2800
Пришлось недавно перейти с 2800 на 5505. Как всегда есть плюсы и минусы. Один из минусов -...

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Cisco asa 5505
Здравствуйте товарищи! Я совсем новичек в cisco, подскажите пжл-та, должна ли по дефолту циска...

Cisco Asa 5505
Объясните, пожалуйста разницу http://network.msk.ru/catalog/asa5505_series Интересует только две...

18
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 10:51 2
нужна схема и более подробное описание что значит
Цитата Сообщение от rinat4forum Посмотреть сообщение
пользователи ЛВС так и не получают Интернет
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 11:07  [ТС] 3
После настройки и установки МЭ ASA при попытке пользователей просмотреть web-страницы или получить почту, выдается сообщение, об отсутствии подключения к Интернет.
0
Миниатюры
Настройка Cisco ASA 5505 в transparent mode  
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 11:11 4
поставь security-level 100 у vlan 2
0
07.04.2015, 11:11
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 11:50  [ТС] 5
Но ведь это внешний vlan, мне нужно запретить прохождение любого трафика инициированного с внешней стороны!
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 11:53 6
списками доступа запретишь
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 12:00  [ТС] 7
Хорошо, попробую!

Но, как я понимаю, security level прописать будет мало, нужно будет разрешить прохождение трафика между vlan одинакового уровня безопасности.

Добавлено через 42 секунды
Можешь привести полный код?

И вопрос, все же, в чем ошибка в моем коде? По инструкции, вроде должно все работать.
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 12:11 8
interface Ethernet0/1
switchport access vlan 1

при условии что локалка в Ethernet0/1 подключена

Добавлено через 1 минуту
Цитата Сообщение от rinat4forum Посмотреть сообщение
нужно будет разрешить прохождение трафика между vlan одинакового уровня безопасности
Цитата Сообщение от rinat4forum Посмотреть сообщение
same-security-traffic permit inter-interface
у тебя это вот где сделано, вообщем не важно можешь уровень не трогать у тебя и так все разрешено списком доступа, на ошибку постом выше указал
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 12:15  [ТС] 9
vlan 1 автоматом как inside вешается на e0/1-7, это видно в отчете:
Код
asa5505(config)# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside down Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 12:27 10
да что то не аметил, в некоторых версиях прописывать надо, у вас оба влан в дауне ?
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 12:58  [ТС] 11
Настройка ведется удаленно, по этой причине в эти порты при его настройке не подключены сетевые кабели. Технология следующая через com подключаемся к устройству через удаленный комп, настраиваем, далее человек переносит его и вставляет его в разрез между хабом и роутером.

По vlan'ам - когда ввожу код

interface Ethernet0/1
switchport access vlan 1

он принимает команду, но на запрос show startup-config выводит то что в первом запросе.
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 13:10 12
в таком случае смотрите пакет трасером пакет вообще проходит через АСУ
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 13:35  [ТС] 13
В том то и дело, что пакеты не проходят.

Добавлено через 47 секунд
Подскажите, что вы имеете ввиду под -
Цитата Сообщение от corlovito Посмотреть сообщение
смотрите пакет трасером
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 13:58 14
ну я поэтому и говорю Parker tracer посмотреть он покажет причину
p.s packet tracer тот который в АСУ встроен это на всякий случай

Добавлено через 18 минут
packet-tracer input inside ip <sourceIP> <destIP>
вот так например покажет пройдет ли пакет в направлении in на интерфейсе inside

Добавлено через 3 минуты
Цитата Сообщение от rinat4forum Посмотреть сообщение
через com подключаемся к устройству
а почему через managment interface не подключаетесь ?
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 15:01  [ТС] 15
managment interface так таковой, как мне представляется, на модели 5505 отсутствует, есть только консольный, можно также прописать управление через web-интерфейс. Но, с веб-инт. и прозрачным режимом множество своих затыков, так что был выбран метод консольного управления.

Что касается packet-tracer думаю здесь мало что выйдет в transparent mode т.к. у нас нет IP ни на входе ни на выходе. Как я понимаю, требуется ввести данную команду, когда устройство интегрировано в рабочую схему, тогда да, может и будет результат.
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 15:15 16
Цитата Сообщение от rinat4forum Посмотреть сообщение
Как я понимаю, требуется ввести данную команду, когда устройство интегрировано в рабочую схему
нет то то и оно что система сама генерирует пакет в этот момент и может вообще ни к чему не подключена быть

Добавлено через 2 минуты
если не боитесь давайте доступ, поковыряемся...
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
07.04.2015, 19:53  [ТС] 17
Так, интересно. Если можно им воспользоваться (трейсером), то попробуем. Но только с учетом нашей схемы, что же я должен задать в переменных source_ip и destination_ip, ведь их как я понимаю нет. Или можно задать любые?

Кстати, есть одна зацепка, может нужно в access-list добавить http в этом роде - access-list OUTSIDE_IN extended permit http(-s) any any. Предполагал что достаточно в нем прописать ip. Догадка родилась после отправки пинга с 192.168.1.2 на 192.168.1.1. Т.е. icmp проходит.
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
07.04.2015, 20:22 18
как это нет ip они всегда есть например в качестве сурса 192.168.1.2 дестинаешн ip адрес яндекс страницы

Добавлено через 2 минуты
насчет списка доступа у вас стоит ip any any это подразумевает весь ip трафик так что добавление http ни чего не изменит у вас и так уже все разрешено

Добавлено через 1 минуту
покажите еще ipconfig /all с сервера 192.168.1.2
0
rinat4forum
0 / 0 / 0
Регистрация: 07.04.2015
Сообщений: 10
10.04.2015, 10:27  [ТС] 19
Прошу прощения за долгое молчание!

Было несколько экспериментов, который должны были поставить - недостатки удаленной настройки.

Ситуация следующая: в сети 192.168.0.0/24, при установке МЭ между клиентским ПЭВМ и ЛВС, МЭ работает отлично, все как задумано в transparent mode. А вот при размещении между роутером и ПЭВМ затык (это экспирементальная модель за роутером подключается только маленькая сеть - состоящая лишь из МЭ и ПЭВМ - до роутера пинг проходит, а вот дальше нет!

Сейчас попробуем подключить ПЭВМ напрямую к роутеру, может проблема совсем не в cisco.
0
10.04.2015, 10:27
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.04.2015, 10:27

Cisco ASA 5505 и server2003
добрый день такая вот дело есть два офиса (в разных странах),на одном конче стоит ASA 5505 а в...

Firewall на Cisco ASA 5505
Доброго времени суток! Очень нужно настроить элементарную топологию сети в проге Packet Tracer (...

назначить IP в Cisco ASA 5505
Помогите назначить айпи Делаю следующее: ciscoasa(config)# interface Vlan1...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.