Firewall Internet
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:16 Topologia
1:15 Konfiguracja
3:03 Konfiguracja ASY
6:00 Konfiguracja Class-Mapy
8:30 Podsumowanie
Transkrypcja
Cześć! Chcesz zobaczyć, jak łatwo można skonfigurować Cisco ASĘ w trybie natowania razem z zewnętrznym operatorem i dynamicznym adresem IP? Jeżeli tak, to zapraszam Cię do tego odcinka. Zacznijmy od topologii. Mamy po lewej stronie router, który nam będzie symulował VAN, operatora, który nam dostarcza zewnętrzną usługę. Na tym routerze skonfigurujemy sobie loopback jako adres IP sieci, która jest zewnętrzna. Ten router R1 będzie miał interfejs, łączący ASĘ i R1 w sieci 1.1.1.1, maska 24 bity i jeden interfejs ASY będzie również w tej sieci. Żeby lepiej zasymulować typowy przypadek, to będziemy z DHCP przyznawać z R1 adres na VAN-ie do ASY na interfejsie E0/0. Jeżeli chodzi o wewnętrzny interfejs, to mamy tu sieć 192.168.1.1, czyli ASA routuje ruch i mamy adres IP statycznie przypisany zarówno na ASIE, jak i na PC1. Okej, to możemy ruszać do konfiguracji. Konfigurację trzeba zacząć od przyznania adresu IP na hoście na PC1. Tutaj wpisujemy statyczny adres IP z końcówką 1.2, brama będzie z końcówką 1.1, czyli na ASĘ. Teraz możemy przejść do konfiguracji routera.
W konfiguracji routera przechodzimy do trybu manualnego i konfigurujemy odpowiednio interfejsy. Zacznijmy od interfejsu loopback. Czyli interfejs loopback podnosimy, tworzymy, a następnie przypisujemy mu adres 2.2.2.2 i z maską oczywiście 32 bity. Czyli mamy zewnętrzny interfejs IP sieci, która jest po drugiej stronie R1. Nazywamy ten router oczywiście ISP i konfigurujemy interfejs od strony ASY, czyli fastEthernet 0/0. Tutaj przypisujemy statycznie adres IP na tym interfejsie i on będzie 1.1.1.1 z maską 24 bity. Podnosimy ten interfejs. Doskonale. A następnie trzeba skonfigurować DHCP, czyli najpierw poola. IP DHCP pool ISP i tutaj trzeba dodać w tej puli informacje o sieci 1.1.1.0 z maską 24 bity. Mamy. Dodatkowo trzeba dodać rozgłaszanie domyślnej bramy i to będzie adres 1.1.1.1, czyli adres naszego routera R1. Teraz możemy przejść do konfiguracji ASY. Jeżeli chodzi o ASĘ, to tutaj trzeba sprawdzić najpierw, jaka jest konfiguracja. Mamy już tutaj częściową konfigurację. Spójrz, mamy VLAN1 jako inside, czyli strefa zaufana, security-level 100, czyli to jest zaufana nasza strefa. I mamy statycznie adres IP przydzielony. Mamy również interfejs VLAN2, czyli łączący do R1 naszą ASĘ. Jest to outside i ma security-level 0, czyli jest mniej zaufana. Adres IP na tym interfejsie VAN będzie przypisywany z DHCP. Okej, czyli to mamy jasne. Teraz możemy przejść do konfiguracji naszej polityki na ASIE. Czyli żeby zobaczyć, czy nam adres IP się przypisał, wystarczy zobaczyć listę interfejsów i widzimy, że VLAN2, czyli nasz outside, jest z adresem 1.1.1.2, czyli adres DHCP. Bardzo słusznie, tak jak chcieliśmy to skonfigurować. Sprawdzamy, czy mamy komunikację. Interfejs 1.1.1.1 to jest na R1. Mamy tę komunikację.
Kolejnym krokiem jest dodanie konfiguracji na ASIE, dotyczącej routingu. Czyli jeżeli byśmy chcieli pingować czy komunikować się z zewnętrzną siecią, w tym przypadku to będzie nasz loopback na R1, to musimy dodać trasę na ASIE. Tutaj nie udała się ta próba, dlatego że jest kropka za czwartym zerem. Tutaj nam Mateusz za chwilę to poprawi. Już mamy statyczną trasę wpisaną, czyli zgodnie z oczekiwaniem. Możemy spróbować zapingować zewnętrzny adres, sieć 2.2.2.2 loopback na R1 i pingi przechodzą, czyli komunikacja jest zapewniona. Czyli komunikację na poziomie IP mamy i teraz wystarczy zadefiniować obiekty dotyczące naszej polityki na ASIE, natowania, a następnie monitorowania. W obiekcie network NAT, mamy taki obiekt, który definiujemy-i w tym obiekcie definiujemy, jakie są kryteria klasyfikacji ruchu. Czyli jeżeli ruch jest w sieci 192.168.1.0 z maską 24 bity, wtedy będzie klasyfikował się do tego obiektu. Następnie piszemy, że będziemy natować od wewnątrz na zewnątrz. Czyli adresy prywatne na adres VAN ASY. Dodatkowo wskazujemy, że będzie to dynamic interface po stronie VAN-u, dlatego że adres IP mamy przypisywany przecież z DHCP na ASIE. W związku z tym musimy tu przypisać jako dynamiczny obiekt. Kolejnym krokiem jest stworzenie i skonfigurowanie class-mapy. W tej klasie definiujemy matchowanie, czyli piszemy, jaki rodzaj ruchu będzie poddawany inspekcji. Domyślnie tutaj dołączamy to matchowanie. Następnie tworzymy policy-map -i spójrz tutaj mamy class-map i tu już niżej mamy policy-map. Dlatego że tym poleceniem przechodzimy do innego kontekstu. Policy-map jest jakby nadrzędnym obiektem, do którego będziemy podłączać ten class-map, który wcześniej zadefiniowaliśmy. Okej, spójrzmy, jak to będzie wyglądało. Czyli do polityki podpinamy klasę. A w tej klasie dodatkowo dodajemy inspekcję ICMP. Tak, całość spinamy serwisem policy o nazwie GLOBAL. Ta sama nazwa co w policy-map i typ klasy czy serwisu. Czyli mamy konfigurację wykonaną już na ASIE. Teraz możemy sprawdzić, czy całość nam działa. Czyli wystarczy teraz, że zapingujemy z PC1 do 2.2.2.2, czyli to jest interfejs loopback na R1 i ten pakiet musi zostać tutaj zanatowany na ASIE, według routingu przesłany dalej, według routingu R1 będzie oczywiście przekazany do loopbacka i loopback odpowie z powrotem do PC1. Odpowie z powrotem właściwie, dlatego że adres IP jest natowany na adres VAN-owy ASY. Adres VAN ASY, czyli 1.1.1.2, jak widziałeś w konfiguracji interfejsu, to jest adres, który jest osiągalny lokalnie w sieci connected z R1 i dlatego ten ruch nam przechodzi. A jeżeli dojdzie już do ASY, to jest z powrotem natowany na adres sieci 168.1.2 i w ten sposób mamy komunikację. Pingujemy teraz i widać, że ping 2.2.2.2 przechodzi nam zgodnie z oczekiwaniem. Ping 1.1.1.1 również przechodzi, jest w sieci directly connected między ASĄ a routerem, ten adres 2.2.2.2 to jest loopback na routerze R1, który jest za routerem i musi być odpowiednio przeroutowany.
Na dzisiaj to tyle. Dziękuję Ci za uwagę. Mam nadzieję, że wszystko było zrozumiałe. Jeżeli nie, to napisz w komentarzu pod tym materiałem. Jeżeli jesteś ciekaw szerszego kontekstu dotyczącego ASY, natowania, zoningu, to omawiam szerzej ten kontekst dotyczący dzisiejszej konfiguracji w moim podcaście. Podcast jest dostępny tak samo jak artykuł z konfiguracją na moim blogu. Link do tego bloga oczywiście pod tym wideo. Dziękuję Ci dzisiaj za uwagę. To wszystko. Do zobaczenia już za tydzień.