Дано: ASA5505 с чистой конфигурацией. Интернет линк с динамическим IP.
Требуется: настроить внутреннюю сеть с раздачей IP по DHCP, NAT для доступа в интернет.
Этапы настройки:
route 0 0 1.1.1.1
dhcpd address 192.168.1.1-192.168.1.254 LAN - какие адреса раздавать и в каком VLAN
dhcpd dns 8.8.8.8 - какой адрес DNS, который надо использовать. Я предпочитаю указывать гугловский.
dhcpd enable LAN - включаем раздачу адресов в конкретном VLAN.
route 0 0 1.1.1.1 - это означает маршрут на все адреса, где 1.1.1.1 next-hope, указанный вашим провайдером как маршрут по умолчанию.
Далее этот объект, в котором мы записали нашу локальную сеть мы сможем использовать при составлении списков доступа и т.д., пригодиться еще. Если вы настраиваете только что купленную ASA, то возможно NAT - правило было создано автоматически при указании security-level на vlan. Для того, что бы избежать проблем в дальнейшем, убедитесь что вы не продублировали настройки командой:
В данной статье не буду углубляться в настройки policy-map, скажу только, что таким образом мы разрешили ходить icmp трафику
После этого привязываем эту политику к интерфейсу (можно сделать политикой для всех интерфейсов). Политика применяется на входе в интерфейс, поэтому используем LAN
На этом минимальная настройка закончена. Как настроить удаленный доступ, VPN - туннели будет описано в других статьях.
Полная конфигурация, которую мы произвели
Требуется: настроить внутреннюю сеть с раздачей IP по DHCP, NAT для доступа в интернет.
Этапы настройки:
- Настроить Vlan'ы.
- Привязать Vlan к интерфейсам
- Настроить DHCPD и прописать маршрут по умолчанию
- Настроить NAT
- Настроить service-policy.
- Удаленный доступ
Далее подробнее.
Настроить Vlan'ы.
У нас по умолчанию есть только Vlan1. Так как он по умолчанию привязан ко всем портам, я предпочитаю его использовать для локальной сети. Указываем в нем IP-адрес ASA во внутренней сети, фактически основной шлюз. А так же устанавливаем security-level 100 - это позволяет трафику из внутренней сети спокойно проходить в Vlan с меньшим приоритетом, но запрещает установку соединений в обратную сторону (если не указано отдельное правило).
interface Vlan1
description Local LAN
nameif LAN
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
Так же создадим Vlan2, который будем использовать для подключения к интернет.
interface Vlan2
description Internet
nameif WAN
security-level 0
ip address dhcp
no shutdown
В этот раз приоритет 0, для самого недоверенного трафика. IP-адрес мы получаем автоматически от провайдера, в противном случае его стоит указать как в случае с локальной сетью.
Имена vlan'ов можно выбрать любые, но желательно что бы они были вам понятны, в дальнейшем их придется часто использовать для настройки.
Привязать Vlan к интерфейсам.
Теперь нам необходимо указать, на каких интерфейсах какой VLAN. Как уже сказано, VLAN по умолчанию настроен на всех. Интерфейсы ASA настраиваются аналогично интерфейсам коммутатора 2го уровня:
interface Ethernet0/0<
description Inetrnet
switchport access vlan 2
no shutdown
!
interface Ethernet0/1
description Local network
no shutdown
Настроить DHCPD и прописать маршрут по умолчанию
Теперь настроим раздачу IP-адресов в нашей сети. Если вы желаете прописывать адреса вручную в вашей сети, можете пропустить этот шаг.
!
dhcpd address 192.168.1.2-192.168.1.254 LAN
dhcpd dns 8.8.8.8
dhcpd enable LAN
route 0 0 1.1.1.1
dhcpd address 192.168.1.1-192.168.1.254 LAN - какие адреса раздавать и в каком VLAN
dhcpd dns 8.8.8.8 - какой адрес DNS, который надо использовать. Я предпочитаю указывать гугловский.
dhcpd enable LAN - включаем раздачу адресов в конкретном VLAN.
route 0 0 1.1.1.1 - это означает маршрут на все адреса, где 1.1.1.1 next-hope, указанный вашим провайдером как маршрут по умолчанию.
Настроить NAT
Напомню, а ASA есть два варианта прописать NAT - в глобальной настройке и в настройке объекта типа network. Сейчас мы пропишем его в объекте:
object network LAN
subnet 192.168.1.0 255.255.255.0
nat (LAN,WAN) dynamic interface
Далее этот объект, в котором мы записали нашу локальную сеть мы сможем использовать при составлении списков доступа и т.д., пригодиться еще. Если вы настраиваете только что купленную ASA, то возможно NAT - правило было создано автоматически при указании security-level на vlan. Для того, что бы избежать проблем в дальнейшем, убедитесь что вы не продублировали настройки командой:
show nat
Настроить service-policy.
Как и с NATом, ASA должна при первой настройке создать правила инспектирования трафика из локальной сети в интернет. Это фактически и есть фаервол. Но иногда бывают случае когда автоматически ничего не создается, а ICMP-трафик(ping) не работает без настройки вообще. Поэтому проверим настройки:
class-map inspection_default
match default-inspection-traffic<
policy-map global_policy
class inspection_default
inspect icmp
В данной статье не буду углубляться в настройки policy-map, скажу только, что таким образом мы разрешили ходить icmp трафику
После этого привязываем эту политику к интерфейсу (можно сделать политикой для всех интерфейсов). Политика применяется на входе в интерфейс, поэтому используем LAN
service-policy global_policy interface LAN
На этом минимальная настройка закончена. Как настроить удаленный доступ, VPN - туннели будет описано в других статьях.
Полная конфигурация, которую мы произвели
Комментариев нет:
Отправить комментарий