ASA5505, 5510, 5520, 5540 di base e avanzato. L’installazione e la configurazione sono descritte in modo approfondito in un processo passo-passo facile da seguire, nel nostro articolo di seguito. Si consiglia vivamente ai nostri lettori di leggere l’articolo in quanto copre tutto ciò che viene presentato qui con tutte le spiegazioni e i dettagli necessari per garantire che nessuna domanda rimanga senza risposta.
ciscoasa>
Qui si digita il comando “abilita” per entrare in modalità abilitata.
Digita help o “?” per un elenco di comandi disponibili.
ciscoasa> enable
password:
ciscoasa #
Come puoi vedere, riceverai una richiesta di password. Basta premere invio qui perché non è stata configurata la password di abilitazione.
La prima cosa che vuoi fare è digitare il comando “write erase”. Ciò eliminerà tutta la configurazione predefinita che Cisco ha creato per te. Potresti chiederti perché, ma ci sono molte cose in quella configurazione che non ti servono / non vuoi e potrebbero persino causare alcuni problemi di rete se lo connetti alla tua rete (DHCP).
ciscoasa # write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa #
Ti verrà richiesto di confermare che desideri cancellare la configurazione. Basta premere invio qui.
Ora che hai cancellato la configurazione di avvio, dovrai ricaricare l’ASA per ottenere una configurazione pulita. A questo scopo utilizzerai il comando “reload“.
ciscoasa# reload
Proceed with reload? [confirm]
ciscoasa#
***
*** — START GRACEFUL SHUTDOWN —
Shutting down isakmp
Shutting down File system
***
*** — SHUTDOWN NOW —
Ora quando il tuo router viene riavviato otterrai questa domanda:
Preconfigurare Firewall ora tramite prompt interattivi [sì]?
Rispondi con “no” poiché vuoi configurare tu stesso l’ASA (vuoi essere un ingegnere Cisco, vero?).
Ora entra in modalità abilitata (cerca se hai dimenticato come) ed emetti il ​​comando “show running-config”.
ciscoasa # show running-config
Sembra carino e pulito giusto?
Ora possiamo iniziare la configurazione.
La prima cosa che vuoi fare è entrare in modalità configurazione. Puoi farlo emettendo il comando “configura terminale”
ciscoasa # configure terminal
ciscoasa (config) #
Notare il (config) dietro il nome host del dispositivo. Questo significa che sei in modalità configurazione.
Ora daremo al nostro ASA un altro nome host.
ciscoasa (config) # hostname ExampleASA
ExampleASA (config) #
Come puoi vedere, il nome host cambia immediatamente.
Ora imposteremo un nome utente e una password in modo che tu possa effettivamente gestire l’ASA dalla tua scrivania con SSH / Telnet / ASDM.
ExampleASA(config)# username example password example privilege 15
ExampleASA(config)#
Impostare il tuo privilegio su 15 è molto importante se sei tu a gestire l’ASA. Il privilegio 15 è il più alto dei privilegi e ti dà il pieno controllo del dispositivo.
A questo punto, configureremo l’indirizzo interno (LAN) dell’ASA.
Con ASA 5505 lavori con le VLAN invece di assegnare gli indirizzi IP alle interfacce effettive. Useremo VLAN 1 come nostra VLAN interna.
ExampleASA(config)# interface vlan 1
ExampleASA(config-if)# ip address 192.168.1.1 255.255.255.0
ExampleASA(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default
INFO: livello di sicurezza per “inside” impostato su 100 per impostazione predefinita.
Tutti i dispositivi ASA funzionano con livelli di sicurezza applicati a VLAN / interfacce. Con i livelli di sicurezza puoi sempre passare da alto (100) a basso (0) ma mai viceversa, a meno che non sia configurato diversamente. Ciò significa che nessuno dall’esterno può iniziare una sessione all’interno.
Finora per la VLAN interna.
Ora inizieremo con la configurazione esterna (WAN).
A seconda del provider, potresti doverlo fare in modo leggermente diverso, ma inizierò prima con un indirizzo IP statico.
ExampleASA(config)# interface vlan 2
ExampleASA(config-if)# ip address 212.115.192.193 255.255.255.248
ExampleASA(config-if)# nameif outside
INFO: Security level for outside set to 0 by default.
ExampleASA(config-if)# exit
ExampleASA(config)# route outside 0.0.0.0 0.0.0.0 212.115.192.192
Come puoi vedere, ASA imposta il livello di sicurezza dell’interfaccia chiamata all’esterno su 0.
È inoltre necessario creare un percorso statico se il provider ha fornito un indirizzo IP statico. Questo è chiamato gateway predefinito.
Se il tuo provider ti fornisce un indirizzo IP tramite DHCP, la configurazione è un po ‘più semplice.
ExampleASA(config)# interface vlan 2
ExampleASA(config-if)# ip address dhcp setroute
ExampleASA(config-if)# nameif outside
Con questo comando non è necessario configurare un gateway predefinito poiché lo si otterrà dal proprio provider.
Ora dobbiamo collegare la VLAN esterna a una delle interfacce dell’ASA.
Per impostazione predefinita, tutte le interfacce sono collegate alla VLAN 1 e, per impostazione predefinita, tutte le interfacce sono nello stato di “arresto”. In questo esempio collegherò l’interfaccia “Ethernet 0” alla VLAN esterna (VLAN 2) e renderò operativa la porta.
ExampleASA(config)# interface ethernet0/0
ExampleASA(config-if)# switchport access vlan 2
ExampleASA(config-if)# no shutdown
Ora questa interfaccia è collegata a VLAN 2 ed è operativa.
Devi rendere operativa almeno un’altra porta per la tua rete interna digitando il comando “no shutdown”.
ExampleASA(config)# interface ethernet0/1
ExampleASA(config-if)# no shutdown
Per impostazione predefinita, tutte le interfacce sono collegate alla VLAN 1, quindi non è necessario assegnare una VLAN all’interfaccia.
E ora per far funzionare Internet dalla tua rete interna dobbiamo configurare NAT.
Per prima cosa crei un’interfaccia globale in cui tutti gli indirizzi dall’interno devono essere tradotti.
ExampleASA(config)# global (outside) 10 interface
INFO: outside interface address added to PAT pool
Il numero 10 in quella riga di configurazione è un identificatore. In questo modo è possibile indicare al NAT all’interno di quale indirizzo IP esterno devono essere tradotti.
La parte dell’interfaccia significa che usi l’indirizzo IP della tua interfaccia per tradurre. In questo caso l’interfaccia esterna.
2 ° dobbiamo creare una regola NAT per la rete interna.
ExampleASA(config)# nat (inside) 10 192.168.1.0 255.255.255.0
ExampleASA(config)#
Come puoi vedere ho usato anche il numero 10 in questa regola. Questo collega la rete interna al globale esterno. La sottorete dietro che afferma che la rete 192.168.1.0/24 può essere tradotta nell’indirizzo IP esterno.
Congratulazioni! Ora dovresti avere una connessione Internet!
Ma ora vuoi gestire l’ASA senza dover camminare sempre nella sala server.
ASA supporta l’amministrazione remota tramite SSH e Telnet. ASA ha anche una buona interfaccia grafica chiamata ASDM (Advanced Security Device Manager).
Ti mostrerò come configurare l’ASA in modo che tu possa connetterti con l’ASDM (grafico) e con SSH (CLI).
Per prima cosa iniziamo con SSH. Per abilitare SSH dovrai generare una chiave che crittograferà il traffico tra l’utente e l’ASA.
ExampleASA(config)# crypto key generate rsa modulus 1024
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait…
ExampleASA(config)#
Ora vogliamo usare il nome utente che abbiamo creato in precedenza per connetterci all’ASA con SSH.
ExampleASA(config)# aaa authentication ssh console LOCAL
LOCAL indica che ASA utilizza il database dei nomi utente locale per autenticare gli utenti.
Al termine, è necessario indicare all’ASA a quale indirizzo IP è consentito connettersi all’ASA. Consentiremo solo agli utenti all’interno di accedere all’ASA tramite SSH.
ExampleASA(config)# ssh 192.168.1.0 255.255.255.0 inside
Ora il tuo ASA è accessibile da SSH dal tuo spazio di lavoro.
Successivamente, abilitiamo l’interfaccia grafica ASDM.
ExampleASA(config)# http server enable
Questo comando abilita l’ASDM sull’ASA.
Vogliamo usare il nome utente che abbiamo creato in precedenza e dire a quali reti è consentito connettersi all’ASA con l’ASDM.
ExampleASA(config)# aaa authentication http console LOCAL
ExampleASA(config)# http 192.168.1.0 255.255.255.0 inside
Al termine, si desidera assicurarsi che ASA non si avvii senza una configurazione al successivo riavvio di ASA. Puoi farlo salvando la configurazione con il seguente comando.
ExampleASA(config)# write mem
Building configuration…
Cryptochecksum: e5fa3ae9 add2aae4 c0be8847 79cec1ba
2502 byte copiati in 1.190 sec (2502 byte / sec)
[OK]
ExampleASA (config) #
Congratulazioni! Ora hai finito di configurare il tuo ASA.
La prossima volta entrerò nella configurazione più dettagliata di un ASA.
About Author
