Konfiguracja dostępu do Internetu na CISCO ASA

Czym jest CISCO ASA?

Cisco ASA należy definiować jako urządzenie sieciowe (podobnie jak przełącznik czy router) mające za główne zadanie ochronę sieci internetowej przed:

  • nieautoryzowanym dostępem    
  • intruzami chcącymi zakłócić pracę naszej sieci

Jeśli chcesz obejrzeć instrukcję video – kliknij 🙂

Na czym polega ochrona na urządzeniu CISCO ASA?

Ochrona głównie dotyczy blokady nieuprawnionego ruchu sieciowego. Sprzęt ASA, w sieci jaką kontrolujemy, będzie pełnił     funkcję       firewalla.

Konfiguracja CISCO ASA – przykładowa topologia

Topologia użyta w konfiguracji

Powyższa topologia składa się z:

– stacji roboczej PC1    

– routera R1 – mający dostęp do Internetu adres 2.2.2.2

 -urządzenia CISCO ASA

Zadania do zrealizowania:

 – Konfiguracja adresów na wszystkich urządzeniach

 – Skonfigurowanie urządzenia CISCO ASA w celu prawidłowej komunikacji stacji roboczej PC1 z routerem R1

– Określenie puli DHCP na ruterze R1

Konfiguracje

Cisco ASA:

ciscoasa>en
 Password:
 ciscoasa#sh run
 : Saved
 :
 ASA Version 8.4(2)
 !
 hostname ciscoasa
 names
 !
 interface Ethernet0/0
  switchport access vlan 2
 !
 interface Ethernet0/1
 !
 interface Ethernet0/2
 !
 interface Ethernet0/3
 !
 interface Ethernet0/4
 !
 interface Ethernet0/5
 !
 interface Ethernet0/6
 !
 interface Ethernet0/7
 !
 interface Vlan1
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
 !
 interface Vlan2
  nameif outside
  security-level 0
  ip address dhcp
 ! 
Konfiguracja na urządzeniu
ciscoasa#show interface ip brief
 Interface              IP-Address      OK? Method Status                Protocol
 Ethernet0/0            unassigned      YES unset  up                    up
 Ethernet0/1            unassigned      YES unset  up                    up
 Ethernet0/2            unassigned      YES unset  down                  down
 Ethernet0/3            unassigned      YES unset  down                  down
 Ethernet0/4            unassigned      YES unset  down                  down
 Ethernet0/5            unassigned      YES unset  down                  down
 Ethernet0/6            unassigned      YES unset  down                  down
 Ethernet0/7            unassigned      YES unset  down                  down
 Vlan1                  192.168.1.1     YES CONFIG up                    up
 Vlan2                  1.1.1.2         YES DHCP   up                    up 
ciscoasa#ping 1.1.1.1
 Type escape sequence to abort.
 Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
 .!!!!
 Success rate is 80 percent (4/5), round-trip min/avg/max = 0/1/7 ms
 ciscoasa#conf t
 ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 1.1.1.1
 ciscoasa(config)#exit
 ciscoasa#ping 2.2.2.2
 Type escape sequence to abort.
 Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
 .!!!!
 Success rate is 80 percent (4/5), round-trip min/avg/max = 0/1/4 ms 
Udana komunikacja z IP 1.1.1.1
ciscoasa#conf t
 ciscoasa(config)#object network NAT
 ciscoasa(config-network-object)#subnet 192.168.1.0 255.255.255.0
 ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
 ciscoasa(config-network-object)#exit
 ciscoasa#conf terminal
 ciscoasa(config)#class-map global-class
 ciscoasa(config-cmap)#match default-inspection-traffic
 ciscoasa(config-cmap)#!
 ciscoasa(config-cmap)#policy-map GLOBAL
 ciscoasa(config-pmap)#class global-class
 ciscoasa(config-pmap-c)#inspect icmp
 ciscoasa(config-pmap-c)#!
 ciscoasa(config-pmap-c)#service-policy GLOBAL global 

PC1:

R1:

Router#conf t
 Router>en
 Router(config)#int LO1
 Router(config-if)#
 %LINK-5-CHANGED: Interface Loopback1, changed state to up
 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up
 Router(config-if)#ip address 2.2.2.2 255.255.255.255
 Router(config-if)#hostname ISP
 ISP(config)#interface FastEthernet0/0
 ISP(config-if)#ip address 1.1.1.1 255.255.255.0
 ISP(config-if)#no shutdown
 ISP(config-if)#exit
 ISP(config)#ip dhcp pool ISP
 ISP(dhcp-config)#network 1.1.1.0 255.255.255.0
 ISP(dhcp-config)#default-router 1.1.1.1
 ISP(dhcp-config)#end 

Prawidłowa komunikacja z Internetem dla urządzeń CiscoASA i PC1

Udana komunikacja z adresem 2.2.2.2
Udana komunikacja z adresami