21T27 Cisco ASA – Dost臋p do Internetu w 8 min. [Konfiguracja]

Firewall Internet

Wi臋cej miejsc do pos艂uchania:

Spotify

Link do artyku艂u.

0:00 Wprowadzenie

0:16 Topologia

1:15 Konfiguracja

3:03 Konfiguracja ASY

6:00 Konfiguracja Class-Mapy

8:30 Podsumowanie

Transkrypcja

Cze艣膰! Chcesz zobaczy膰, jak 艂atwo mo偶na skonfigurowa膰 Cisco AS臉 w trybie natowania razem z zewn臋trznym operatorem i dynamicznym adresem IP? Je偶eli tak, to zapraszam Ci臋 do tego odcinka. Zacznijmy od topologii. Mamy po lewej stronie router, kt贸ry nam b臋dzie symulowa艂 VAN, operatora, kt贸ry nam dostarcza zewn臋trzn膮 us艂ug臋. Na tym routerze skonfigurujemy sobie loopback jako adres IP sieci, kt贸ra jest zewn臋trzna. Ten router R1 b臋dzie mia艂 interfejs, 艂膮cz膮cy AS臉 i R1 w sieci 1.1.1.1, maska 24 bity i jeden interfejs ASY b臋dzie r贸wnie偶 w tej sieci. 呕eby lepiej zasymulowa膰 typowy przypadek, to b臋dziemy z DHCP przyznawa膰 z R1 adres na VAN-ie do ASY na interfejsie E0/0. Je偶eli chodzi o wewn臋trzny interfejs, to mamy tu sie膰 192.168.1.1, czyli ASA routuje ruch i mamy adres IP statycznie przypisany zar贸wno na ASIE, jak i na PC1. Okej, to mo偶emy rusza膰 do konfiguracji. Konfiguracj臋 trzeba zacz膮膰 od przyznania adresu IP na ho艣cie na PC1. Tutaj wpisujemy statyczny adres IP z ko艅c贸wk膮 1.2, brama b臋dzie z ko艅c贸wk膮 1.1, czyli na AS臉. Teraz mo偶emy przej艣膰 do konfiguracji routera.

W konfiguracji routera przechodzimy do trybu manualnego i konfigurujemy odpowiednio interfejsy. Zacznijmy od interfejsu loopback. Czyli interfejs loopback podnosimy, tworzymy, a nast臋pnie przypisujemy mu adres 2.2.2.2 i z mask膮 oczywi艣cie 32 bity. Czyli mamy zewn臋trzny interfejs IP sieci, kt贸ra jest po drugiej stronie R1. Nazywamy ten router oczywi艣cie ISP i konfigurujemy interfejs od strony ASY, czyli fastEthernet 0/0. Tutaj przypisujemy statycznie adres IP na tym interfejsie i on b臋dzie 1.1.1.1 z mask膮 24 bity. Podnosimy ten interfejs. Doskonale. A nast臋pnie trzeba skonfigurowa膰 DHCP, czyli najpierw poola. IP DHCP pool ISP i tutaj trzeba doda膰 w tej puli informacje o sieci 1.1.1.0 z mask膮 24 bity. Mamy. Dodatkowo trzeba doda膰 rozg艂aszanie domy艣lnej bramy i to b臋dzie adres 1.1.1.1, czyli adres naszego routera R1. Teraz mo偶emy przej艣膰 do konfiguracji ASY. Je偶eli chodzi o AS臉, to tutaj trzeba sprawdzi膰 najpierw, jaka jest konfiguracja. Mamy ju偶 tutaj cz臋艣ciow膮 konfiguracj臋. Sp贸jrz, mamy VLAN1 jako inside, czyli strefa zaufana, security-level 100, czyli to jest zaufana nasza strefa. I mamy statycznie adres IP przydzielony. Mamy r贸wnie偶 interfejs VLAN2, czyli 艂膮cz膮cy do R1 nasz膮 AS臉. Jest to outside i ma security-level 0, czyli jest mniej zaufana. Adres IP na tym interfejsie VAN b臋dzie przypisywany z DHCP. Okej, czyli to mamy jasne. Teraz mo偶emy przej艣膰 do konfiguracji naszej polityki na ASIE. Czyli 偶eby zobaczy膰, czy nam adres IP si臋 przypisa艂, wystarczy zobaczy膰 list臋 interfejs贸w i widzimy, 偶e VLAN2, czyli nasz outside, jest z adresem 1.1.1.2, czyli adres DHCP. Bardzo s艂usznie, tak jak chcieli艣my to skonfigurowa膰. Sprawdzamy, czy mamy komunikacj臋. Interfejs 1.1.1.1 to jest na R1. Mamy t臋 komunikacj臋.

Kolejnym krokiem jest dodanie konfiguracji na ASIE, dotycz膮cej routingu. Czyli je偶eli by艣my chcieli pingowa膰 czy komunikowa膰 si臋 z zewn臋trzn膮 sieci膮, w tym przypadku to b臋dzie nasz loopback na R1, to musimy doda膰 tras臋 na ASIE. Tutaj nie uda艂a si臋 ta pr贸ba, dlatego 偶e jest kropka za czwartym zerem. Tutaj nam Mateusz za chwil臋 to poprawi. Ju偶 mamy statyczn膮 tras臋 wpisan膮, czyli zgodnie z oczekiwaniem. Mo偶emy spr贸bowa膰 zapingowa膰 zewn臋trzny adres, sie膰 2.2.2.2 loopback na R1 i pingi przechodz膮, czyli komunikacja jest zapewniona. Czyli komunikacj臋 na poziomie IP mamy i teraz wystarczy zadefiniowa膰 obiekty dotycz膮ce naszej polityki na ASIE, natowania, a nast臋pnie monitorowania. W obiekcie network NAT, mamy taki obiekt, kt贸ry definiujemy-i w tym obiekcie definiujemy, jakie s膮 kryteria klasyfikacji ruchu. Czyli je偶eli ruch jest w sieci 192.168.1.0 z mask膮 24 bity, wtedy b臋dzie klasyfikowa艂 si臋 do tego obiektu. Nast臋pnie piszemy, 偶e b臋dziemy natowa膰 od wewn膮trz na zewn膮trz. Czyli adresy prywatne na adres VAN ASY. Dodatkowo wskazujemy, 偶e b臋dzie to dynamic interface po stronie VAN-u, dlatego 偶e adres IP mamy przypisywany przecie偶 z DHCP na ASIE. W zwi膮zku z tym musimy tu przypisa膰 jako dynamiczny obiekt. Kolejnym krokiem jest stworzenie i skonfigurowanie class-mapy. W tej klasie definiujemy matchowanie, czyli piszemy, jaki rodzaj ruchu b臋dzie poddawany inspekcji. Domy艣lnie tutaj do艂膮czamy to matchowanie. Nast臋pnie tworzymy policy-map -i sp贸jrz tutaj mamy class-map i tu ju偶 ni偶ej mamy policy-map. Dlatego 偶e tym poleceniem przechodzimy do innego kontekstu. Policy-map jest jakby nadrz臋dnym obiektem, do kt贸rego b臋dziemy pod艂膮cza膰 ten class-map, kt贸ry wcze艣niej zadefiniowali艣my. Okej, sp贸jrzmy, jak to b臋dzie wygl膮da艂o. Czyli do polityki podpinamy klas臋. A w tej klasie dodatkowo dodajemy inspekcj臋 ICMP. Tak, ca艂o艣膰 spinamy serwisem policy o nazwie GLOBAL. Ta sama nazwa co w policy-map i typ klasy czy serwisu. Czyli mamy konfiguracj臋 wykonan膮 ju偶 na ASIE. Teraz mo偶emy sprawdzi膰, czy ca艂o艣膰 nam dzia艂a. Czyli wystarczy teraz, 偶e zapingujemy z PC1 do 2.2.2.2, czyli to jest interfejs loopback na R1 i ten pakiet musi zosta膰 tutaj zanatowany na ASIE, wed艂ug routingu przes艂any dalej, wed艂ug routingu R1 b臋dzie oczywi艣cie przekazany do loopbacka i loopback odpowie z powrotem do PC1. Odpowie z powrotem w艂a艣ciwie, dlatego 偶e adres IP jest natowany na adres VAN-owy ASY. Adres VAN ASY, czyli 1.1.1.2, jak widzia艂e艣 w konfiguracji interfejsu, to jest adres, kt贸ry jest osi膮galny lokalnie w sieci connected z R1 i dlatego ten ruch nam przechodzi. A je偶eli dojdzie ju偶 do ASY, to jest z powrotem natowany na adres sieci 168.1.2 i w ten spos贸b mamy komunikacj臋. Pingujemy teraz i wida膰, 偶e ping 2.2.2.2 przechodzi nam zgodnie z oczekiwaniem. Ping 1.1.1.1 r贸wnie偶 przechodzi, jest w sieci directly connected mi臋dzy AS膭 a routerem, ten adres 2.2.2.2 to jest loopback na routerze R1, kt贸ry jest za routerem i musi by膰 odpowiednio przeroutowany.

Na dzisiaj to tyle. Dzi臋kuj臋 Ci za uwag臋. Mam nadziej臋, 偶e wszystko by艂o zrozumia艂e. Je偶eli nie, to napisz w komentarzu pod tym materia艂em. Je偶eli jeste艣 ciekaw szerszego kontekstu dotycz膮cego ASY, natowania, zoningu, to omawiam szerzej ten kontekst dotycz膮cy dzisiejszej konfiguracji w moim podca艣cie. Podcast jest dost臋pny tak samo jak artyku艂 z konfiguracj膮 na moim blogu. Link do tego bloga oczywi艣cie pod tym wideo. Dzi臋kuj臋 Ci dzisiaj za uwag臋. To wszystko. Do zobaczenia ju偶 za tydzie艅.


Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.