Cisco ASA. Base config. Практика

2021.08.19. Kurapov Alexey.

Cisco ASA. Base config.

                    Рассмотрим топологию:


На Cisco ASA проверим модель и версию Software:

 

                    Выполним сброс настроек, настроим имя устройства и интерфейсы:

 

Где security-level  - уровень доверия к зоне безопасности, чем он выше, тем доверенней зона.

 

                    Пропишем маршрут по умолчанию:

                    В команде указывается nameif интерфейса.

 

                    Проверяем доступность интернета с ASA:

 

                    Сейчас у ПК нет доступа к подсети 172.16.0.0.100, а соответственно к интернету:

 

                    Настроим static NAT на Cisco ASA для доступа ПК в интернет:

                    Будем натить один внутренний ip (подсеть 192.168.1.0/24) в один внешний (172.16.0.0/24)

 

1.       object network h192.168.1.98 - создаем объект типа network, с именем h192.168.1.98,

2.       host 192.168.1.98 - указываем внутренний ip адрес, который хотим пронатить – 192.168.1.98,

3.       nat (inside,internet) static 172.16.0.201 – натим пакеты с интерфейса inside  на интерфейс internet, тип natstatic, натим внутренний ip 192.168.1.98  во внешний  ip 172.16.0.201.

Проверяем на ПК – сайты доступны, ping в интернет – не успешен:

 

          Видим увеличение untranslated_hits для адреса 192.168.1.98:

translate_hits количество соединений проначенных с помощью данного правила nat,

untranslated_hits количество соединений, которые не были проначены с помощью этого правила.

 

Почему сайты открываются, но ping не проходит?

1.           1. Все пакеты с интерфейса с бОльшим security-level inside, проходят на на интерфейс с меньшим значением security-level internet, обратно – нет. Поэтому ping не успешен.

2.       2.  Сайты в браузере открываются, т.к. TCP/UDP ответы от web серверов на TCP/UDP запросы внутренних ПК проходят через ASA.

3.               3. Для исправления ситуации требуется ACL разрешающий проходить входящим icmp-replay с интерфейса internet.

Создадим ACL:

и применим его на интерфейс internet

 

Проверка:

 

Смотрим соединения на ASA sh conn,  до, во время и после ping-a:

 

Смотрим на ASA sh nat,  до, во время и после ping-a: 

 

Смотрим на ASA sh access-list,  до, во время и после ping-a:

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Изображение
Nexus NX-OS. vPC. Практика. Часть 1. 2021.11. 24 . Kurapov Alexey .   Nexus NX-OS. vPC. Part 1. Nexus и Catalyst -   одно из отличий: Nexus   - коммутаторы Cisco со скоростью коммутации с порта на порт, не более 2-3 мкс, в отличии от, например, Catalyst 9 x 00 , с задержкой порядка 50 мкс. В больших или распределенных ЦОД-ах, при наличии множества next - hop , данный параметр является критичным для ряда приложений, когда требуется задержка при обращении сервера приложений к БД на уровне не более 2-3 мс.   vPC – для чего? В кампусных сетях для обеспечения надежности доступности хостов или сетевого оборудования в L 2 домене используется понятие LACP – несколько линков работают одновременно и не блокируются протоколом STP .   Особенно важно обеспечить аналогичную работу в ЦОД-е/-ах, где используются 10/25/40/100 Gb линки и неиспользование части из них весьма дорого. В обычной ситуации сервер подключенный к двум разным физическим коммутаторам...
Далее...
Изображение
MPLS Part 8.  Практика . MPLS  L3 VPN Part 5. MPLS L3 VPN PE-CE routing with OSPF Part 1. 2023.09.19. Kurapov Alexey. MPLS Part 8 MPLS L3 VPN Part 5                   MPLS L3 VPN PE-CE routing with OSPF Part 1.                       Топология сети не изменилась:                         Ранее научились отдавать connected сети, теперь перейдем к динамической маршрутизации – CE - PE routing .                     PE – Provider Router , этот роутер терминирует на себе vrf .                     CE – граничный роутер клиента, смотрит в сторо...
Далее...
Изображение
  MPLS Part 3.  Практика . MPLS LDP Tunnels Part 3. 2023.05.10. Kurapov Alexey. MPLS Part 3 MPLS LDP Tunnels Part 3                     Схема сети такая же, как и раньше:   Рассмотрим откуда берутся метки.                     В выводе команды show ip cef , также есть MPLS метка:                       Откуда берутся метки? Как только включаем LDP на интерфейсах, появляется дополнительная таблица – таблица MPLS Forwarding :                     Данная таблица называется LIB – Label Information Base , или LFIB – Label Forwarding Information Base , в ней есть метки для всех известных R 1 префиксов.   ...
Далее...