У современных устройств Cisco ASA прямо "из коробки" есть некоторый дефолтный конфиг, позволяющий, например, подключиться к устройству не консольно, а через http/ASDM/CSM.
Конфиг включает в себя настроенный IP адрес на интерфейсе management 0/0 или vlan 1 - в зависимости от модели (например, 5510 - первый вариант, 5505 - второй). Адрес по умолчанию: 192.168.1.1 255.255.255.0. Так же сделаны соответствующие настройки для доступа к устройству по протоколу http.
Под начальной конфигурацией я подразумеваю настройку устройства таким образом, чтобы его можно было включить в соответствующий порт коммутатора в серверной, уйти на рабочее место и продолжить настройку в более комфортных условиях удаленно. Поэтому я не хочу использовать дефолтный конфиг с не вписывающимися в мой адресный план адресами. К базовой настройке можно отнести:
1) Очистку существующего конфигурационного файла;
2) Активацию необходимых лицензий;
3) Настройку интерфейса управления;
4) Настройку способа удаленного доступа к устройству;
5) Настройку времени и даты на устройстве (опционально)
Использовать ASDM не планирую, т.к. не привык работать с GUI. Хотя стоит признать, что некоторые специфические вещи удобнее делать через ASDM, нежели через CLI.
Для начала очистим конфиг от заводской настройки:
ciscoasa>enable
Password:
ciscoasa#write erase
ciscoasa#reload
После загрузки устройства начинаю работу с пустым конфигом, пропустив автонастройку.
Для начала проверяю имеющиеся лицензии и добавляю необходимые лицензии с помощью команды activation-key [лицензия в шестнадцатиричном виде]. Далее настраиваю имя устройства, домен, пароли на EXEC-режим и пароль для доступа к ASA telnet. Пароль не помешает, хотя телнетом пользоваться не буду и отключу его в принципе.
ciscoasa(config)# hostname BorderFW //присваиваем имя устройству
BorderFW(config)# domain-name mydomain.ru //определяем домен
BorderFW(config)# enable password Str0ngPa$$ //устанавливаем пароль на вход в режим EXEC
BorderFW(config)# domain-name mydomain.ru //определяем домен
BorderFW(config)# enable password Str0ngPa$$ //устанавливаем пароль на вход в режим EXEC
BorderFW(config)# passwd telnetPassW0rd //устанавливаем пароль для telnet
Теперь можно приступить к настройке интерфейса управления. Для этого необходимо на соответствующем интерфейсе настроить IP-адрес, имя интерфейса, включить этот интерфейс. В случае старших моделей, у которых присутствует выделенный интерфейс для управления - management interface, можно настроить использование интерфейса только для служебного трафика. В используемой мною модели отсутствует интерфейс управления, поэтому я буду использовать один из интерфейсов для передачи трафика данных и управления, который в моей схеме будет подключаться к транковому порту коммутатора. Поэтому со стороны ASA я настрою транк, а адрес управления присвою интерфейсу VLAN25.
!
interface Ethernet0/1
description To_Core
switchport trunk allowed vlan 25
switchport trunk native vlan 2
switchport mode trunk
no shut
description To_Core
switchport trunk allowed vlan 25
switchport trunk native vlan 2
switchport mode trunk
no shut
!
interface Vlan25
nameif MGMT
security-level 0
ip address 192.168.0.254 255.255.255.0
interface Vlan25
nameif MGMT
security-level 0
ip address 192.168.0.254 255.255.255.0
BorderFW# sh switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
2 - up Et0/1
25 MGMT up Et0/1
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
2 - up Et0/1
25 MGMT up Et0/1
Так же интерфейсы ASA могут использоваться как L3 интерфейсы, или разбиваться на подынтерфейсы. При этом настройка будет аналогична настройке сабинтерфейса на маршрутизаторе. Так же стоит отметить, что интерфейсы ASA поддерживают настройку EtherChannel, правда только LACP и режим ON, соответствующий режиму EtherChannel на коммутаторах Cisco.
После того, как настроены интерфейсы, можно приступить к настройке способов удаленного администрирования. Описано это в данной статье, поэтому не буду повторяться.
Так же к базовой настройке можно отнести настройку даты и времени. Можно установить время вручную, используя набор команд:
BorderFW(config)# clock timezone UTC 6
BorderFW(config)# clock set 15:51:00 8 MAY 2015BorderFW(config)# sh clock
15:51:10.329 UTC Fri May 8 2015
BorderFW(config)#
BorderFW(config)# clock set 15:51:00 8 MAY 2015BorderFW(config)# sh clock
15:51:10.329 UTC Fri May 8 2015
BorderFW(config)#
Так же можно настроить синхронизацию времени с NTP сервером:
BorderFW(config)# ntp trusted-key 1 //назначаю номер ключа, который буду использовать для аутентификации сервера времени
BorderFW(config)# ntp server 10.10.10.1 key 1 source MGMT //указываю сервер времени, ключ аутентификации и интерфейс, с которого будут поступать запросы
BorderFW(config)# ntp authenticate //указываю необходимость аутентифицировать сервер времени
BorderFW(config)# ntp authentication-key 1 md5 ciscoNTP //определяю ключ, который будет использоваться для аутентификации
BorderFW(config)# ntp server 10.10.10.1 key 1 source MGMT //указываю сервер времени, ключ аутентификации и интерфейс, с которого будут поступать запросы
BorderFW(config)# ntp authenticate //указываю необходимость аутентифицировать сервер времени
BorderFW(config)# ntp authentication-key 1 md5 ciscoNTP //определяю ключ, который будет использоваться для аутентификации
После этого межсетевой экран готов к установке на свое положенное место, готов к подключению в сеть и к удаленному администрированию.
На interface Ethernet0/1 недобавили security-level.
ОтветитьУдалитьНа interface Vlan25 не логичней ли было сделать security-level 0, что бы к интерфейсу управления иметь доступ всегда и без всяких заморочен с листами и прочим?
Поясните пожалуйста в какой конкретно ситуации данный конфиг будит работать? У него ведь только один интерфейс настроен.
Доброго дня!
Удалить"На interface Ethernet0/1 недобавили security-level" - это Л2 интерйес. Поэтому не требовалось.
"На interface Vlan25 не логичней ли было сделать security-level 0, что бы к интерфейсу управления иметь доступ всегда и без всяких заморочен с листами и прочим?" - Вы, вероятно, имели ввиду уровень 100? Нет, не логичнее, т.к. в любом случае необходимо сделать ACL, указывающий, кто имеет доступ к устройству. Нет необходимости разрешать полный доступ с любого адреса на интерфейс управление. Небезопасное решение.
Данный конфиг будет работать всегда. Это начальная инициализация устройства, когда его достали из коробки и собираются унести далеко в холодную и шумную серверную. Один интерфейс настроен для подключения во внутреннюю сеть и для того, чтобы далее можно было настраивать устройство с рабочего места=)
Да конечно я имел ввиду 100.
ОтветитьУдалить>Нет необходимости разрешать полный доступ с любого адреса
Если я правильно помню, то на ASA ssh трафик обрабатывается немного подругому в отличии от других устройств этого производителя. И доступ у нему ограничивается в команде настройки ssh (на память не вспомню)
>чтобы далее можно было настраивать устройство с рабочего места=)
Вот теперь понятнее стало, спасибо за ответ.
"Если я правильно помню, то на ASA ssh трафик обрабатывается немного подругому в отличии от других устройств этого производителя. И доступ у нему ограничивается в команде настройки ssh (на память не вспомню)" - все правильно. Прописывается с какого адреса (сети) через какой интерфейс разрешен доступ по ssh. Но по сути этот тот же ACL.
УдалитьКак по мне так это более удобно, чем вешать полноценный ACL на интерфейс, тем более можно, что-то ненароком зацепить.
ОтветитьУдалитьНу да ладно это дело вкуса.
Спасибо за ответы, желаю вам хорошей посещаемости. Заходите ко мне, может тоже, что побсуждаем.
И Вам спасибо!=)
Удалить