отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Ask the expert: Конфигурирование и траблшутинг Cisco ASA

Добро пожаловать на сессию "Спроси Эксперта" (Ask the Expert) на русском языке.

В ходе сессии вы можете узнать о принципах настройки и отладки межсетевых экранов Cisco ASA, о создании различных видов VPN на ASA, а также о рекомендованных решениях и топологиях VPN для ваших задач.

На ваши вопросы будет отвечать эксперты Cisco TAC Алла Булавина и Сергей Мороз.

Алла Булавина – инженер центра технической поддержки Cisco (TAC) в Москве. Алла, являясь экспертом в области технологий сетевой безопасности, имеет богатый опыт работы с Cisco ASA, FWSM, Zone Based Firewall module в Cisco IOS Software, а так же со всеми видами VPN и IPS. Алла окончила с отличием Московский Государственный Технический Университет Радиотехники, Электроники и Автоматики по специальности прикладная математика. Также она обладает сертификатом CCIE Security 26121.

Сергей Мороз - инженер центра технической поддержки Cisco (TAC). Работает в группе Security & VPN и поддерживает платформы Cisco ASA/FWSM, IPS, MARS, VPN3000, IOS.  Он имеет богатый опыт траблшутинга всех видов защищенных туннелей VPN на оборудовании Cisco. Имеет сертификаты CCIE R&S и Security #20950, а так же сертификат MCSE.

Пожалуйста не забывайте оценивать ответы Аллы и Сергея, чтобы они знали, что Вы получили ответ, который помог.

Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 3-го августа.

Теги (6)
60 ОТВЕТ.
New Member

Ask the expert: Конфигурирование и траблш

Добрый день, коллеги!

Столкнулся с необходимостью настройки оборудования ASA5550-K8 в режим Active/Active Failover и при изучении данной темы я понял, что на МЭ должны быть настроены два контекста. Действительно ли это необходимо и если да, то для чего?

Cisco Employee

Ask the expert: Конфигурирование и траблш

Евгений, добрый день!

Active/Active Failover работает только в Multiple Context режиме. Вызвано это реализацией Active/Active failover на ASA. В отличие от Active/Standby, failover происходит на уровне логических групп (failover group), а не на уровне самих устройств. В каждой failover group-е, которых может быть только две, можно настроить один или более context-ов. Вы можете настроить, чтобы первая failover group была активной на первой ASA, а вторая - на второй. Таким образом обе ASA будут одновременно передавать трафик.

Пожалуйста, обратите внимание на ограничения по Multiple Context режиму в текущих версиях ПО. Пока не поддерживается следующий функционал:

1) Динамическая маршрутизация

2) Все виды VPN

3) Механизм Threat Detection

4) Мультикаст

5) Phone Proxy

6) QoS

7) Unified Communications

Если у вас ASA используется не только как firewall, но и как VPN-концентратор или вам нужна поддержка любого из перечисленного выше функционала, то пока вам можно только Active/Standby настраивать.

С уважением,

Алла

New Member

Re: Ask the expert: Конфигурирование и траб

Алла, спасибо большое за ответ!!!

По настройке Active/Active я читал

http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a0080834058.shtml

в ней говорится что должны быть созданы несколько контекстов, приводятся примеры настройки каждого контекста, но не говорится как создавать контексты. Не подскажите каким образом это делается?

Заранее спасибо!

Cisco Employee

Ask the expert: Конфигурирование и траблш

Евгений, добрый день!

Вам нужно переключить ASA в мультиконтекстный режим:

Conf t

mode multiple

После этой команды ваша ASA уйдет в перезагрузку. После перезагрузки вы окажетесь в системном контексте(). Именно в этом контескте вы будете задавать основные настройки для failover (так как продемонстрированно в PIX1 - System Configuration, в приведенном вами configuration example ), настройки физических интерфейсов и создавать новые контексты.

Для создания нового контекста вам нужно набирать в системном контексте команды:

Conf t

context test1 <======================== имя нового контекста

allocate-interface Ethernet0/2 <=========== привязывете к контексту test1 интерфейс Ethernet0/2

allocate-interface Ethernet0/3 <=========== привязывете к контексту test1 интерфейс Ethernet0/3

config-url disk0:/test1.cfg <=============== указываете место хранения конфигурации контекста test1

Точно также создаёте второй контекст. По-умолчанию на вашей ASA есть лицензия на создание 2-х контекстов, если есть необходимость использовать больше контекстов, то вам нужно докупить дополнительную лицензию на контексты.

Для того, чтобы присупить к настройкам контекста test1, вам нужно набрать :

ciscoasa# changeto context test1

ciscoasa/test1#

Вернуться назад в system:

ciscoasa/test1# changeto system

Подробнее про настройки мультиконтекстного режима вы можете прочитать в нашем гайде на ASA:

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/mode_contexts.html

С уважением,

Алла

New Member

Re: Ask the expert: Конфигурирование и траб

Добрый день!

Постоянно вижу в логах ASA такие сообщения. Причем эти  IP-адреса у меня в локальной сети, со сотороны интерфейса inside. Что  это может быть? IP-spoofing? Причем адресов много разных и которых у  меня в сети вообще нет....

Duplicate TCP SYN from outside:192.168.11.45/2624 to outside:192.168.2.21/21224 with different initial sequence number

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Михаил,

Скорее всего, данные сообщения говорят о том что на внешнем  интерфейсе ASA у вас действительно присутствует посторонний TCP трафик.   Скорее всего, это TCP SYN Flood атака на вашу ASA из Интернет.   Это  также может быть сканирование ваших публичных IP адресов на предмет  наличия открытых TCP портов.  Данные TCP SYN пакеты приходят с приватных  и случайных IP адресов,  поскольку автор атаки использует спуфинг  (подмену реального source IP адреса в TCP пакете на посторонний).

Атаки из Интернет (равно как и сканирование портов)  являются нормальным явлением и производятся практически на все публичные  IP адреса в Интернет.  Повлиять на работу самой ASA таким способом  практически невозможно, поэтому если вы не замечаете никаких проблем для  ваших приложений (разрывы сессий) или снижения производительности, то  траблшутить это не обязательно.  Как вы можете увидеть из логов, ASA  просто дропает TCP пакеты, если они не принадлежат уже установленным  сессиям, или же если TCP SYN пакет приходит на TCP порт, которого на  внешнем интерфейсе вашей ASA не существует. 

Единственное, на что может повлиять TCP SYN Flood  атака - это на на работу ваших серверов, доступных из Интернет.  Для  этого автор атаки должен присылать TCP SYN пакеты на ваши публично  открытые TCP порты (скажем, порты HTTP, SMTP и прочих внутренних  серверов, доступных через NAT/PAT на ASA). 

Для защиты внутренних серверов от TCP SYN Flood атак на ASA есть следующие механизмы:

1. во-первых, все пакеты с source IP адресов,  принадлежащих вашей внутренней сети (спуфинг), можно отсечь на outside  интерфейсе еще до их анализа файрволлом на уровне протокола TCP.  Это  делается при помощи механизма Unicast RPF:

conf t

  ip verify reverse-path interface outside

Документация на Unicast RPF на ASA:

http://www.cisco.com/en/US/docs/security/asa/asa80/command/reference/i3.html#wp1839270

C таким же успехом можно, кстати, настроить и ACL на  outside, блокирующий трафик со всех приватных source IP адресов и  недопустимых source IP адресов наподобие 127.x.x.x, 0.0.0.0,  255.255.255.255.

2. От TCP SYN пакетов с легальными  публичными source IP адресами вышеуказанные способы не помогут.  Для  защиты внутренних серверов от TCP SYN Flood атак с легальных IP адресов  можно настроить TCP intercept:

conf t

access-list TCP permit tcp any any

class-map outside-class-test

   match access-list TCP

policy-map outside-policy

  class outside-class-test

   set connection per-client-max 100 per-client-embryonic-max 10

service-policy outside-policy interface outside

Данный конфиг наложит жесткое ограничение в 100  "полноценных" TCP сессий на каждый хост-нинциатор TCP соединений и  "нежесткое" ограничение на 10 полуоткрытых (half-open) TCP сессий на  каждый хост-инициатор. 

Жесткое ограничение на полноценные TCP сессии (опция per-client-max 100)  в данном конфиге опционально - его обычно применяют не для защиты от  атак, а для ограничения torrent-трафика, чтобы удержать количество  torrent-сессий на хост в разумных пределах.  На UDP сессии такое ограничение тоже можно наложить.

Нежесткое ограничение на полуоткрытые сессии (опция per-client-embryonic-max 10)  защищает от TCP трафика, сгенерированного вирусами и от TCP SYN Flood  атак, но при этом совершенно не мешает работе легитимного TCP трафика. 

Если будет достигнуто "нежесткое" ограничение  (хост-инициатор пришлет 10 TCP SYN пакетов, которые не завершатся  установкой полноценного TCP соединения) то ASA не будет блокировать  трафик данного хоста полностью - вместо этого она включит для данного  хоста-инициатора механизм SYN cookie и начнет анализировать все SYN  пакеты от данного инициатора.  После активации данного механизма сквозь  ASA можно будет установить только полноценные TCP сессии, полуоткрытые  не установятся.  Данный механизм создает небольшую дополнительную  нагрузку на CPU, поэтому является "пороговым" - он включается для  отдельного хоста-инициатора по достижении указанного вами лимита в  параметре per-client-embryonic-max.

По умолчанию все лимиты равны нулю и никаких ограничений на TCP сессии на ASA нет.  Механизм TCP intercept по умолчанию выключен.

Документация на TCP intercept на ASA: 

http://www.cisco.com/en/US/docs/security/asa/asa80/command/reference/s1.html#wp1395546

С уважением,

Сергей.

New Member

Ask the expert: Конфигурирование и траблш

Сергей, можете уточнить один момент.

Правильно ли я понимаю, что если через внешний интерфейс указан нулевой маршрут (маршрут по умолчанию), то по логике в этот маршрут попадут все адреса, которых нет в локальной сети (о которых не знает таблица маршрутизации ASA).

Например, вся сеть построена на подсетях сети 192.168.0.0/16, а спуфинг пойдёт с адресов 10.0.0.0/8, в этой ситуации Unicast RPF не очень поможет и надёжнее использовать списки доступа, так?

Ask the expert: Конфигурирование и траблш

Здравствуйте, Игорь,

Под дефолтовый маршрут 0.0.0.0/0 попадут все IP адреса, кроме тех, на которые в таблице маршрутизации есть более специфические маршруты (/16, /24, и т.д.).  Иными словами, на основании таблицы марщрутизации ASA знает о том, что все адреса, принадлежащие сети inside находятся именно со стороны inside.  А со стороны outside находится все остальное.

Поэтому, если на интерфейс outside придет любой пакет с source IP адресом, принадлежащим любой из внутренних сетей ASA (присоединенных к любому другому интерфейсу кроме outside), то механизм Unicast RPF его дропнет. 

Второй вопрос - зачем это нужно.  В принципе, механизм Unicast RPF можно и не настраивать вовсе - он все равно отсечет только некоторую часть нелегального трафика.  Он не отсечет трафик с легальных IP адресов.  Основные механизмы для защиты от TCP атак работают не на IP, а на TCP уровне - это TCP нормалайзер (работает всегда, дропает пакеты, не являющиеся SYN пакетами и не принедлежащие уже установленным сессиям) и TCP intercept (по умолчанию выключен, при включении не дает создавать полуоткрытые сессии - т.е. блокирует SYN пакеты, не завершающиеся полноценным TCP handshake).

Тем не менее, все механизмы, работающие на уровне TCP (особенно TCP intercept) создают хоть какую-то нагрузку на CPU.  Механизм Unicast RPF позволяет отсечь часть нелегального трафика на входе в ASA, еще до того как трафик попадет в TCP нормалайзер.  Unicast RPF работает на уровне IP адресов, при этом ресурсов CPU расходует меньше, а дропает пакеты с нелегальными адресами надежнее, чем TCP нормалайзер.

С уважением,

Сергей.

New Member

Ask the expert: Конфигурирование и траблш

Добрый день.

Давно у меня висит вопрос по поводу пропускной способности интерфейсов на устройстве ASA 5510. Часть из них работает в гигабитовом режиме, а часть в FastEthernet, связано ли это с согласованием с коммутатором, с лицензированием или с чем либо ещё?

Привожу sh ver:

ASA> sho ver

Cisco Adaptive Security Appliance Software Version 8.2(5)

Device Manager Version 6.1(5)51

Compiled on Fri 20-May-11 16:00 by builders

System image file is "disk0:/asa825-k8.bin"

Config file at boot was "startup-config"

ASA up 62 days 18 hours

failover cluster up 97 days 18 hours

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz

Internal ATA Compact Flash, 256MB

BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)

                             Boot microcode   : CN1000-MC-BOOT-2.00

                             SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03

                             IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.05

0: Ext: Ethernet0/0         : address is , irq 9

1: Ext: Ethernet0/1         : address is , irq 9

2: Ext: Ethernet0/2         : address is , irq 9

3: Ext: Ethernet0/3         : address is , irq 9

4: Ext: Management0/0       : address is , irq 11

5: Int: Not used            : irq 11

6: Int: Not used            : irq 5

Licensed features for this platform:

Maximum Physical Interfaces    : Unlimited

Maximum VLANs                  : 100

Inside Hosts                   : Unlimited

Failover                       : Active/Active

VPN-DES                        : Enabled

VPN-3DES-AES                   : Enabled

Security Contexts              : 2

GTP/GPRS                       : Disabled

SSL VPN Peers                  : 2

Total VPN Peers                : 250

Shared License                 : Disabled

AnyConnect for Mobile          : Disabled

AnyConnect for Cisco VPN Phone : Disabled

AnyConnect Essentials          : Disabled

Advanced Endpoint Assessment   : Disabled

UC Phone Proxy Sessions        : 2

Total UC Proxy Sessions        : 2

Botnet Traffic Filter          : Disabled

This platform has an ASA 5510 Security Plus license.

ASA# sho int E0/0

Interface Ethernet0/0 "INT", is up, line protocol is up

  Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec

        Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps)

        Input flow control is unsupported, output flow control is off

        MAC address 0022.9008.c9d6, MTU 1500

        IP address 192.168.12.238, subnet mask 255.255.255.248

        4160908 packets input, 422693348 bytes, 0 no buffer

        Received 410 broadcasts, 0 runts, 0 giants

        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        3839831 packets output, 370603133 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 5 interface resets

        0 late collisions, 0 deferred

        1 input reset drops, 0 output reset drops, 0 tx hangs

        input queue (blocks free curr/low): hardware (255/242)

        output queue (blocks free curr/low): hardware (255/252)

  Traffic Statistics for "INT":

        4160898 packets input, 347776412 bytes

        3839832 packets output, 301471633 bytes

        14565 packets dropped

      1 minute input rate 1 pkts/sec,  94 bytes/sec

      1 minute output rate 1 pkts/sec,  93 bytes/sec

      1 minute drop rate, 0 pkts/sec

      5 minute input rate 1 pkts/sec,  125 bytes/sec

      5 minute output rate 1 pkts/sec,  118 bytes/sec

      5 minute drop rate, 0 pkts/sec

ASA# sho int E0/1

Interface Ethernet0/1 "", is up, line protocol is up

  Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec

        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)

        Input flow control is unsupported, output flow control is off

        Available but not configured via nameif

        MAC address 0022.9008.c9d7, MTU not set

        IP address unassigned

        532185198 packets input, 232598980307 bytes, 0 no buffer

        Received 179235 broadcasts, 0 runts, 0 giants

        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        713096512 packets output, 58663657054 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 5 interface resets

        0 late collisions, 0 deferred

        0 input reset drops, 0 output reset drops, 0 tx hangs

        input queue (blocks free curr/low): hardware (255/230)

        output queue (blocks free curr/low): hardware (255/227)

ASA# sho int E0/2

Interface Ethernet0/2 "", is up, line protocol is up

  Hardware is i82546GB rev03, BW 100 Mbps, DLY 100 usec

        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

        Input flow control is unsupported, output flow control is off

        Available but not configured via nameif

        MAC address 0022.9008.c9d8, MTU not set

        IP address unassigned

        718742639 packets input, 103801214829 bytes, 0 no buffer

        Received 210 broadcasts, 0 runts, 0 giants

        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        533990786 packets output, 264629274905 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 5 interface resets

        0 late collisions, 0 deferred

        0 input reset drops, 0 output reset drops, 0 tx hangs

        input queue (blocks free curr/low): hardware (255/230)

        output queue (blocks free curr/low): hardware (255/151)

ASA# sho int E0/3

Interface Ethernet0/3 "Failover", is up, line protocol is up

  Hardware is i82546GB rev03, BW 100 Mbps, DLY 100 usec

        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

        Input flow control is unsupported, output flow control is off

        Description: LAN/STATE Failover Interface

        MAC address 0022.9008.c9d9, MTU 1500

        IP address 192.168.11.249, subnet mask 255.255.255.252

        10217815 packets input, 1776990564 bytes, 0 no buffer

        Received 155 broadcasts, 0 runts, 0 giants

        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        13291919 packets output, 3589260368 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 4 interface resets

        0 late collisions, 0 deferred

        2 input reset drops, 0 output reset drops, 0 tx hangs

        input queue (blocks free curr/low): hardware (255/246)

        output queue (blocks free curr/low): hardware (255/239)

  Traffic Statistics for "Failover":

        10217751 packets input, 1574243978 bytes

        13291818 packets output, 3349847796 bytes

        0 packets dropped

      1 minute input rate 1 pkts/sec,  120 bytes/sec

      1 minute output rate 3 pkts/sec,  1171 bytes/sec

      1 minute drop rate, 0 pkts/sec

      5 minute input rate 1 pkts/sec,  119 bytes/sec

      5 minute output rate 3 pkts/sec,  1070 bytes/sec

      5 minute drop rate, 0 pkts/sec

ASA# sho int M0/0

Interface Management0/0 "", is up, line protocol is up

  Hardware is i82557, BW 100 Mbps, DLY 100 usec

        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

        Input flow control is unsupported, output flow control is unsupported

        Available but not configured via nameif

        MAC address 0022.9008.c9d5, MTU not set

        IP address unassigned

        2024133 packets input, 181177364 bytes, 0 no buffer

        Received 918583 broadcasts, 0 runts, 0 giants

        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        9371783 packets output, 1369746980 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 0 interface resets

        0 babbles, 0 late collisions, 0 deferred

        0 lost carrier, 0 no carrier

        0 input reset drops, 0 output reset drops

        input queue (curr/max packets): hardware (0/1) software (0/17)

        output queue (curr/max packets): hardware (0/55) software (0/11)


Устройство скоммутировано в гигабитовый стэк 3750.

Cisco Employee

Ask the expert: Конфигурирование и траблш

Игорь, добрый день!

Вы абсолютно правы. Наличие двух гигабитных интерфейсов связано с  Security Plus лицензией на вашей ASA. По-умолчанию, на ASA 5510 все интерфейсы 100 мегабитные. Как только вы устанавливаете лицензию Security Plus - у вас появляются 2 гигабитных интерфейса.

Вы можете найти эту информацию в нашем DATA SHEET-е на Cisco ASA:

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html

С уважением,

Алла

New Member

Ask the expert: Конфигурирование и траблш

Еще раз добрый день)

А такой наболевший вопрос, точнее два:

1.  У нас несколько ASA в корпорации, версии ПО 8.2. Стоит ли переходить на 8.4, если нам такие фишки как Identify firewall не нужны и пользователей через ASA в инет мы не пускаем, для этого отдельно купили IronPort. Переход на другую ветку ПО дает что-то кроме новых фич?

2. Если все-таки переходить, все правила NAT, а их много переносить только вручную?

Спасибо.

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Михаил,

Золотое правило системного администратора - "работает - не трогай!" 

Любой переход с одной версии на другую дает две вещи: новые фичи и исправление багов.

Если у вас нет багов, которые вас беспокоят в 8.2 и вам не нужны новые фичи 8.4, то причин переходить нет.    По крайне мере до тех пор, пока не прекратится поддержка версии 8.2, или  пока вы не купите новую аппаратную модель ASA, для которой старых  версий софта просто не существует.

При переходе с 8.2 на 8.3 или 8.4 вам придется  полностью переписать все правила NAT, поскольку все команды NAT  изменились в 8.3.   Еще придется откорректировать аксесс-листы, как  минимум, на внешних интерфейсах.   Там, где в версиях до 8.3 в  аксесс-листах упоминались IP адреса после трансляции (скажем, в  интерфейсном ACL на outside присутствовали публичные IP адреса  внутренних серверов), в версии 8.3 и выше должны употребляться истинные  адреса (т.е. в ACL на outside теперь должны присутствовать приватные IP  адреса тех же самых серверов).

Подробнее о том, что вам придется переделать в вашем конфиге и как, можно почитать здесь:

http://www.cisco.com/en/US/partner/docs/security/asa/asa83/upgrading/migrating.html

При  апгрейде до 8.3 и выше ASA автоматически конвертирует старый конфиг, но  автоматическая конверсия справляется адекватно только в типовых  конфигах - простой статический NAT, простой динамический NAT, простой  NAT exemption (исключение из NAT для VPN туннелей). 

В сколько-нибудь нестандартных случаях автоматическая  конвертация пасует и часто дает ошибки.  К нестандартным можно отнести  outside NAT (трансляцию source IP в пакетах идущих их outside в inside),  policy NAT с аксесс-листами, пересекающиеся правила NAT любого рода  (NAT overlapping) и т.п.

Я обычно рекомендую делать миграцию на 8.3 и выше так:

Если правил NAT немного (в пределах десятка) то сразу удалить их все и написать новые вручную.  Документ выше вам поможет.

Если правил очень много (десятки и сотни), то сначала  делаете апгрейд и позволяете ASA самостоятельно выполнить автоматическую  миграцию.  Потом просматриваете конфиг визуально. 

Скорее всего на данном этапе вы вообще никаких ошибок  не найдете, так как при автоматической миграции получается весьма  трудночитабельный конфиг.  При миграции ASA создает огромное количество  именованых объектов (хостов, сетей, портов) с не очень понятными  названиями, включает их во все новые правила, а самих правил создает  гораздо больше чем нужно - конфиг NAT при миграции обычно увеличивается в  2 раза.  

После автоматической конвертации нужно проверить  каждое правило NAT на работоспособность.  Делается это либо прямым  тестированием - работают соответствующие приложения или нет, либо при  помощи команды packet-tracer.  Для всех видов статического NAT и NAT  exemption командой packet-tracer нужно тестировать трафик в обоих  направлениях.

Смысл проверки в том, что протестировать все правила получившиеся в результате конверсии обычно получается быстрее, чем все переписать.

Если  что-то не работает, нужно переписать соответствующее правило NAT  вручную.  При написании правил NAT в 8.3 желательно придерживаться  следующих принципов:

1. NAT exemption (исключение из NAT для VPN туннелей)  делать с использованием синтаксиса Twice NAT с явным указанием в команде  и source IP и destination IP.  Размещать данные команды в конфиге до  статического NAT.

2. статический NAT делать с использованием синтаксиса  Twice NAT с указанием только source IP.  Размещать данные команды в  конфиге после NAT exemption.

3. динамический NAT делать с использованием синтаксиса Object NAT

4. контролировать получившийся порядок правил трансляции по выводу команды "show nat"

Синтаксис  Twice NAT имеет более высокий приоритет чем Object NAT и правила типов 1  и 2 всегда окажутся в списке правил трансляции выше, чем правила типа  3.

Однотипные правила (скажем, несколько правил типа  Twice NAT) попадают в список правил трансляции в том порядке, в котором  они идут в конфиге.  Поэтому нужно стараться, чтобы правила с более  специфичными условиями (скажем, правило NAT exemption, в котором явно  указаны и source IP и destination IP) стояли в конфиге выше, чем правила  с менее специфичными условиями (скажем, статический NAT, в котором  указан только source IP).  В противном случае менее специфичное правило  может сработать ранее более специфичного, а более специфичное может не  сработать никогда.

Проверить, какие правила срабатывают на тот или иной  трафик, можно двумя способами - по команде packet-tracer (она чаще всего  правильно показывает, какое именно правило NAT сработало на указанный  вами пакет) либо по счетчикам пакетов в выводе команды "show nat" - с каждым пакетом, прошедшим через то или иное правило трансляции, растут счетчики напротив данного правила.

Выше  описан алгоритм быстрого приведения конфига в более или менее  работоспособное состояние после конверсии.   Времени на апгрейд обычно  отпущено немного - неделю на downtime никто не даст и максимум за один  выходной день нужно привести все в рабочее состояние и протестировать.

Тем не менее, после того, как все заработает "по  быстрому", нужно будет со временем все-таки переписать все старые  правила NAT вручную.  Дело даже не в том, что автоматическая конверсия  часто неоптимальна, а в том, что созданный при конверсии конфиг  трудночитабелен и похож на телефонный справочник - его тяжело  анализировать и отлаживать.  Желательно создать свои собственные  именованные объекты (хосты, сети и пр.) с хорошо понятными именами и  написать на основе этих объектов только реально необходимые правила NAT -  без избыточности, характерной для конвертации.  А все, что было создано  при конвертации - удалить.

С уважением,

Сергей.

New Member

Ask the expert: Конфигурирование и траблш

Здравствуйте, у нас возникает время от времени две проблемы:

     1. Cisco ASA5540 8.2 настроено управление по SSH. Так вот проблема в том, что доступ по SSH то есть, то его нет. То есть бывает теряется полный доступ к оборудованию.

     2. На этой же ASA5540 настроен доступ к корпоративной сети из внешней сети через VPN доступ. Здесь иногда проблема в том, что клиент получает ip адрес и другие сетевые параметры, но доступа к сети не получает. Если ли какие-нибудь средства диагностики этой проблемы? Проблема возникает спонтанно. Доступ к сети один клиент может иметь, а у другого его нет. Не предпринимая никаких с нашей стороны действий, проблема как-то саморазрешалась.

Cisco Employee

Ask the expert: Конфигурирование и траблш

Денис, добрый день!

По ssh у вас скорее всего вот такой баг:

CSCtf01287   SSH to the ASA may fail - ASA may send Reset

Symptom:

ssh to the box may fail even after recreating the rsa key-pair and removing and adding the ssh lines.

Conditions:

This was first observed on a single context ASA5580 running 8.1.1 as well another ASA5580 multiple context running 8.2.1(4)

Workaround:

None

Further problem description:

debug ssh 255 may not show any output at all

captures may show the ASA sending a FIN ACK packet right after the 3-way handshake or it may send a Reset right after the 3-way handshake.

Вы написала, что на данный момент у вас на ASA стоит ПО 8.2. Баг CSCtf01287 имеет фикс в 8.2.4. Я рекомендую вам сделать upgrade на ASA допоследнего доступного на CCO 8.2.х ПО(на сегодня это asa825-26-k8.bin).

Если после upgrade-а проблема останется, нужно будет собрать во время неудачной попытки подключения следующую информацию с ASA:

  • Debug ssh 255

  • Capture с интерфейса, к которму вы подключаетесь по SSH

Для capture:

A)Создайте ACL-и со следующими параметрами :

access-list test1 extended permit ip host X.X.X.X host Y.Y.Y.Y

access-list test1 extended permit ip host Y.Y.Y.Y host X.X.X.X ,

где X.X.X.X - IP - адрес с которого устанавливается соединение, Y.Y.Y.Y - IP - адрес интерфейса ASA на который устанавливается соединение

2)Далее из режима enable нужно создать capture :

capture test1 access-list test1 interface <имя винтерфейса ASA на который устанавливается соединение>

3) После того как вы сделали попытку соединения :

https://device_ip_address/capture/test1/pcap

По второму вопросу уточните, пожалуйста, каким клиентом вы подключаетесь (Cisco VPN Client, Anyconnnect)

С уважением,

Алла

New Member

Re: Ask the expert: Конфигурирование и траб

Добрый день!

Стоит задача построения ДМЗ и для этого решено использовать FWSM установленный в Catalyst 6513. Требуется фильтрации всего трафика ДМЗ (входящий, исходящий), но при этом Inter-VLAN Routing между VLANами пользователей должен происходить на самом коммутаторе. На данный момент попытался настроить FWSM в режиме роутера и назначил интерфейсы на нем. Настроил НАТ с переадресацией портов, но правило не работает.

FWSM находится за пограничным роутером, который транслирует внешний трафик и фильтрует его.

Отсюда несколько вопросов:

1. Какой из режмов FWSM лучше подходит при построении ДМЗ: transparent или router?

2. Без использования НАТ/ПАТ будет ли считаться ДМЗ полноценной?

3. Как правильно сконфигурировать FWSM, чтобы инспектировать трафик ДМЗ зоны?

У нас опыта работы с FWSM мало, поэтому прошу помочь в решении данного вопроса. Спасибо!

FWSM# sh ver 

FWSM Firewall Version 4.1(9)
Device Manager Version 6.2(2)FCompiled on Fri 04-May-12 11:38 by fwsmbldFWSM up 15 days 19 hours

Hardware:   WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz

Flash STI Flash 8.0.0 @ 0xc321, 20MB

0: Int: GigabitEthernet0    : address is 0024.971f.2380, irq 5

1: Int: GigabitEthernet1    : address is 0024.971f.2380, irq 7

2: Int: EOBC0               : address is 0000.1c00.0000, irq 11

The Running Activation Key is not set, using default settings:


Licensed features for this platform:

Maximum Interfaces          : 256      

Inside Hosts                : Unlimited

Failover                    : Active/Active

VPN-DES                     : Enabled  

VPN-3DES-AES                : Enabled  

Cut-through Proxy           : Enabled  

Guards                      : Enabled  

URL Filtering               : Enabled  

Security Contexts           : 2        

GTP/GPRS                    : Disabled 

BGP Stub                    : Disabled 

Service Acceleration        : Disabled 

VPN Peers                   : Unlimited


FWSM# sh ru

hostname FWSM names

name 192.168.20.1 outinterface

dns-guard

!

interface Vlan10

nameif management

security-level 70

ip address 172.16.10.2 255.255.255.0

!

interface Vlan27

nameif inside

security-level 100

no ip address

!

interface Vlan110

description DMZ Zone

nameif DMZ

security-level 40

ip address 192.168.10.2 255.255.255.0

!

interface Vlan210

description Outside for DMZ

nameif outside

security-level 0

ip address 192.168.20.2 255.255.255.0

!

ftp mode passive

same-security-traffic permit intra-interface

access-list DMZ_access_in extended permit ip any any

access-list outside_access_in extended permit ip any any

access-list DMZ_access_out extended permit ip any any

access-list outside_access_out extended permit ip any any

access-list management_access_out extended permit ip any any

access-list management_access_in extended permit ip any any

access-list inside_access_out extended permit ip any any

access-list inside_access_in extended permit ip any any

pager lines 24

logging enable

logging asdm informational

mtu management 1500

mtu inside 1500

mtu DMZ 1500

mtu outside 1500

no failover

icmp permit any management

icmp permit any inside

icmp permit any DMZ

icmp permit any outside

no asdm history enable

arp timeout 14400

nat-control

global (outside) 1 interface

static (outside,DMZ) tcp interface www outinterface 8001 netmask 255.255.255.255

static (DMZ,outside) 192.168.20.5 192.168.10.3 netmask 255.255.255.255

access-group management_access_in in interface management

access-group management_access_out out interface management

access-group inside_access_in in interface inside

access-group inside_access_out out interface inside

access-group DMZ_access_in in interface DMZ

access-group DMZ_access_out out interface DMZ

access-group outside_access_in in interface outside

access-group outside_access_out out interface outside

route management 192.168.0.0 255.255.255.0 172.16.10.1 1

route management 192.168.27.0 255.255.255.0 172.16.10.1 1

route outside 0.0.0.0 0.0.0.0 outinterface 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-invite 0:03:00 sip-disconnect 0:02:00

timeout pptp-gre 0:02:00

timeout uauth 0:05:00 absolute

aa authentication ssh console LOCAL

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

service reset no-connection

no service reset connection marked-for-deletion

telnet timeout 5

ssh 192.168.27.15 255.255.255.255 management

ssh timeout 60

ssh version 2

console timeout 0

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

  inspect dns maximum-length 512

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect sunrpc

  inspect rsh

  inspect smtp

  inspect sqlnet

  inspect skinny

  inspect xdmcp

  inspect sip

  inspect netbios

  inspect tftp

!

service-policy global_policy global

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Фируз,

Для конкретных  ответов мне нужно несколько больше информации о вашей сети, поэтому  давайте я просто перечислю те вопросы, в которых вам нужно определиться,  и критерии для выбора топологии:

1. Нужно решить, где вы хотите иметь роутинг между VLAN - на FWSM или на 6500. 

Если на 6500, то на FWSM удобнее будет включить Transparent Mode и вставить его "в разрыв" сегмента DMZ - между L3 vlan интерфейсом  коммутатора 6500 и хостами в DMZ.   При этом FWSM в Transparent Mode  будет представлять из себя коммутатор на 2 интерфейса - больше 2  интерфейсов в этом режиме иметь нельзя.  На этих интерфейсах будут  разные номера VLAN, и FWSM будет соединять данные 2 VLAN вашего 6500 в  один коммутируемый L2-сегмент.  Только в отличие от классического  коммутатора, проходящий через FWSM трафик будет фильтроваться.

Если  вы хотите заставить тот же модуль FWSM фильтровать трафик и других  сегментов тоже, то придется включить режим Multiple Context и разбить  FWSM на Security Context-ы.  Каждый контекст будет вести себя как  отдельный виртуальный коммутатор на два интерфейса - со своими  собственными двумя интерфейсами и своим собственным конфигурационным  файлом.  Вы можете при желании поставить по одному контексту в разрыв  каждого их имеющихся у вас сегментов для их фильтрации.

При  этом недостатки будут следующие: сложная конфигурация (куча  конфигурационных файлов вместо одного) и необходимость покупать лицензии  на контексты.  Бесплатно у вас по умолчанию только два контекста.

Альтернативно,  вы можете весь роутинг между vlan реализовать на FWSM - в пределах  своей пропускной способности (максимум 5 Gbps) он с этим справится.  В  этом случае у вас Routed Mode и vlan интерфейсов можно  сделать столько, сколько нужно.  При этом роутинг между теми же vlan на  6500 надо обязательно убрать (удалить с 6500 все лишние vlan интерфейсы 3  уровня).  Если вы их оставите - у вас может появиться возможность  асимметричной передачи трафика между vlan - в одну сторону через FWSM а в  другую через 6500.  FWSM, равно как и PIX/ASA, всегда будет дропать любой асимметричный трафик.  Трафик "туда" и "обратно" всегда должен идти строго одним и тем же путем.

В  этом случае достоинства/недостатки такие: вам не нужны лицензии, у вас  всего один конфигурационный файл, но пропускная способность FWSM  ограничена величиной около 5 Gbps для неинспектируемых протоколов (для  инспектируемых - еще меньше).  У 6500 же пропускная способность гораздо  выше, чем у FWSM.

2. Нужен ли вам NAT. 

Если у вас и до и после FWSM используются приватные IP адреса - то однозначный ответ: не нужен.  FWSM прекрасно может маршрутизировать трафик и без трансляции - как роутер.  Настраивается это так:

static (DMZ,outside) 192.168.0.0 192.168.0.0 netmask 255.255.0.0

В  этой команде вы сначала указываете интерфейс с большим security level,  потом с меньшим.  Описывать в NAT командах тот же трафик, но в обратную  сторону - не нужно.

Если же NAT  нужен - то опишите сначала вашу задачу - что во что нужно транслировать,  и с какой целью.  А также - какого объема предполагается трафик между  VLAN.

3. Нужны ли инспекты.

Обычно достаточно включить inspect icmp, inspect ftp, и инспекты голосовых протоколов, если они есть - inspect sip, inspect skinny, inspect h323.  Все остальные можно выключить.  Кстати, inspect sqlnet я рекомендую выключать всегда, если без него все работает.  Требуется  он очень редко - протокол Oracle SQLnet в 99% случаев работает без него,  а наличие этого инспекта создает ненужную нагрузку на CPU.

Включать  какие-то инспекты сверх перечисленных нужно только в том случае если у  вас есть конкретная задача, которая явно этого требует.  Сами по себе,  все основные протоколы сверх вышеперечисленных работают и без инспектов.

Если у вас есть более конкретные вопросы, то уточните вашу топологию и ваши задачи.

С уважением,

Сергей.

New Member

Ask the expert: Конфигурирование и траблш

Добрый день, коллеги!

У меня такой вопрос. На сегодняшний день в нашей компании используется squid в качестве прокси-сервера, но не привязан к AD, годится ли решение IdentityFirewall для решения задач проксирования и контроля доступа пользователей AD в интернет ? И может ли ASA быть кэширующим сервером и/или связать его со squid ?

New Member

Ask the expert: Конфигурирование и траблш

Присоеденяюсь к вопросу Александра Лебедева: возможно ли заменить с помощью

IdentityFirewall на ASA squid, который используется для авторизации пользователей в АД и ограничения

их доступа в интернет по спискам сайтов?

Сейчас АСА выполняет роль файрвола на границе сети и обеспечивает безопасность ДМЗ, сквид с ntlm/basic аутентификацией в АД - для разграничения прав пользователей по доступу на ресурсы в сети. Хотелось бы "выкинуть" сквид и управлять доступом в инет с одной железки (Cisco ASA)

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Максим,

Смотрите выше мой ответ Александру Лебедеву.

С уважением,

Сергей.

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Александр,

Да, вместо Squid можно использовать ASA с интеграцией с AD.  Единственное, чего ASA не поддерживает - она не может быть кэширующим HTTP прокси.

На ASA, начиная с версии 8.4.2 реализован механизм Identity Firewall.  Смысл его в том, что если он включен, то становится возможным использовать в аксесс-листах на ASA следующие объекты:

1. доменные имена хостов (FQDN) вместо Source IP или Destination IP:

  object network google
   fqdn www.google.com

  access-list IDFW permit ip any object google

Это самая простая часть Identity Firewall - для ее использования не нужно никакой интеграции с Active Directory - достаточно настроить на ASA адреса DNS серверов и все сразу начнет работать:

  dns domain-lookup
  dns name-server 172.1.1.1
  dns expire-entry-timer minutes 10

2. имена пользователей в Active Directory, совместно с Source IP и Destination IP:

  access-list IDFW permit ip user COMPANY\ivan any any

3. имена групп в Active Directory, совместно с Source IP и Destination IP:

  access-list IDFW permit ip user-group COMPANY\\group.users any any

Однако, использование механизмов №2 и №3 значительно сложнее, чем использование имен FQDN.  Для работы данных механизмов нужен надежный способ разрешения IP адресов в пакетах, приходящих на ASA, в имена пользователей, и в имена групп AD, к которым эти пользователи принадлежат.  Механизм разрешения IP адресов в имена должен гарантировать, что пользователь - действительно тот за кого он себя выдает.  Пользователь должен не просто сообщить, как его зовут, а пройти тем или иным способом аутентификацию.

ASA может получать информацию о соответствии IP адресов именам пользователей и групп из трех источников, считающихся надежными:

- если пользователь подключается по VPN к самой ASA, то он проходит аутентификацию на ASA, и ASA знает его IP адрес и имя.

- если пользователь подключается к ASA с использованием механизма Cut-Through (когда сессия пользователя принудительно прерывается и от него требуется аутентифицироваться явно, набирая имя и пароль на веб-странице), то он тоже проходит аутентификацию на ASA, и ASA знает его IP адрес и имя.

- если пользователь логинится в Active Directory (не вовлекая ASA в этот процесс) то он проходит аутентификацию на контроллере домена.  Контроллер пишет в свой собственный Windows Security Event Log сообщения типа Security Audit Logon Event, в которых содержится информация об IP адресе пользователя и его имени.  В последнем случае, для получения данной информации с AD необходимо установить

на контроллере домена дополнительное программное обеспечение Active Directory Agent.  ASA будет подключаться к AD-Agent по протоколу RADIUS и получать от него информацию о соответствии IP адресов именам пользователей, а так же о группах AD, в которые данные пользователи входят.

Важно отметить:

Все вышеперечисленные механизмы разрешения IP адресов в имена (доменные имена FQDN, имена пользователей, имена групп AD к которым пользователь принадлежит) объединяет то, то они достаточно надежно отслеживают соответствие IP адресов именам в момент первого обращения, а затем кешируют данную информацию на некоторое время. 

Информация, хранящаяся во всех кэшах имеет свойство устаревать и требовать периодической проверки.  Чем больше время жизни кеша, тем больше шанс что соответствие IP адресов именам поменяется, а ASA об этом не узнает и будет пользоваться устаревшей информацией (скажем, один пользователь отключится от сети, другой пользователь подключится после него, получит тот же IP что и предыдущий, и начнет пользоваться его уровнем доступа).  Чем же меньше время жизни кеша, тем чаще производятся повторные проверки и тем выше нагрузка на все компоненты системы.  Время жизни информации во всех кешах нужно подбирать опытным путем, добиваясь устойчивой работы.

С уважением,

Сергей.

New Member

Re: Ask the expert: Конфигурирование и траб

Единственное, чего ASA не поддерживает - она не может быть кэширующим HTTP прокси

Но ведь можно в качестве кеширующего прокси использовать сквид через wccp?

Лично в моей ситуации основная идея использования сквида - авторизация по группам в АД и ограничение доступа по спискам сайтов. Иденти файрвол покрывает эти задачи на 100%. Рад что это наконецтво можно решить средствами асы.

Re: Ask the expert: Конфигурирование и траб

Здравствуйте, Михаил,

Да, SQUID совместно с WCCP на ASA использовать можно - это работает.

С уважением,

Сергей.

New Member

Re: Ask the expert: Конфигурирование и траб

Добрый день.

Настроен туннель между двумя ASA в разных филиалах. ACL настроены зеркально. Туннель работает, но в логах постоянн сыпется

Group = 77.243.3.ххх, IP = 77.243.3.ххх, Removing peer from correlator table failed, no match!

Group = 77.243.3.ххх, IP = 77.243.3.ххх, QM FSM error (P2 struct &0x7679a5c8, mess id 0xe2e130ca)

Может это быть из-за того, что с двух сторон в локальной сети для адресации используется сеть  192.168.0.0/16 ?    И ACL с двух сторон разрешают прохождение трафика между сетями 192.168.0.0/16  и 192.168.0.0/16

Cisco Employee

Ask the expert: Конфигурирование и траблш

Михаил, добрый день!

Ошибка:

Group = 77.243.3.ххх, IP = 77.243.3.ххх, Removing peer from correlator table failed, no match!

является косметической и на неё можно не обращать внимания.

Она относится к кореляции IKE таблиц для процесса SNMP на ASA и на работу туннеля не влияет.

В crypro ACL можно использовать в качестве source и destination одинаковые сети. Я так понимаю, что у вас за одной ASA сети вида 192.168.Х.0/24, а за другой 192.168.Y.0/24 (где X и Y не совпадают). Так как если бы сети совпадали, на ASA бы возникла проблема с маршрутизацией и трафик бы через VPN-туннель не ходил. Если у вас много офисов с адресацией 192.168.0.0/16 и на ASA требуется сделать более одного туннеля между такими офисами, то конечно crypro ACL нужно будет поменять на более узкий, например вот такой:

permit ip 192.168.X1.0 255.255.255.0 192.168.Y1.0 255.255.255.0

permit ip 192.168.X2.0 255.255.255.0 192.168.Y2.0 255.255.255.0

…………………

permit ip 192.168.XN.0 255.255.255.0 192.168.YN.0 255.255.255.0

В случае, если у вас с двух сторон абсолютно идентичные приватные сети, на обеих ASA обязательно надо настроить NAT. Нельзя использовать crypro ACL вида:

permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0

Так как на ASA возникнут проблемы с маршрутизацией.

Нужно настроить трансялцию адресов, например так:

На ASA1: 192.168.0.0-->10.1.0.0

На ASA2: 192.168.0.0-->10.2.0.0

Таким образом, на ASA1 у вас будет crypro ACL:

permit ip 10.1.0.0 255.255.0.0 10.2.0.0 255.255.0.0

На ASA2 у вас будет crypro ACL:

permit ip 10.2.0.0 255.255.0.0 10.1.0.0 255.255.0.0

У нас на сайте есть отличный подробный пример для такой топологии:

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080b37d0b.shtml

С уважением,

Алла

New Member

Ask the expert: Конфигурирование и траблш

Доброго дня!

Сразу хочу поблагодарить за предыдущие ответы, очень помогли!

Вопрос такой, между двумя ASA 5520 не хочет подниматься OSPF через ipsec. Делали все как написано на сайте cisco.com, но соседство не установлено, в логах тишина.

На интерфейсе стоит

ospf network point-to-point non-broadcast

Туннель без GRE. Просто cryptomap на интерфейсах. Статические маршруты к соседу тоже есть.

Далее часть конфига:

access-list dipt_access_in extended permit ospf host 77.243.x.xxx host 195.184.xxx.xx

router ospf 10

router-id 192.168.1.1

network 77.243.xxx 255.255.255.252 area 0

network 192.168.1.0 255.255.255.0 area 0

network 192.168.18.0 255.255.255.0 area 0

network 192.168.78.0 255.255.255.0 area 0

network LAN 255.255.0.0 area 1000

network 195.184.xxx.xx 255.255.255.248 area 0

area 0

area 1000

neighbor 77.243.xxx.xx interface outside

log-adj-changes

На второй ASA конфиг зеркальный.

Cisco Employee

Ask the expert: Конфигурирование и траблш

Михаил, добрый день!

Включите на обеих ASA вот такие дебаги:

   debug ospf adj

   debug ospf events

   debug ospf

Также, пожалуйста, проверьте выводы sh cry ipsec sa с обоих сторон. Нужно посмотреть попадает ли OSPF в туннель.

В приведённой части конфигурации, у вас в router ospf 10 стоит neighbor 77.243.xxx.xx, а в ACL для IPsec - 195.184.xxx.xx:

access-list dipt_access_in extended permit ospf host 77.243.x.xxx host 195.184.xxx.xx

Проверьте, пожалуйста, на обеих ASA правильность указания neighbor в ACL для IPsec и в router ospf 10.

С уважением,

Алла

New Member

Ask the expert: Конфигурирование и траблш

Доброго времени суток.

Возникла проблема настроить cisco asa 5505 следующим образом:

имеется подсеть 192.168.0.1-192.168.0.5

с маской 255.255.255.0

и подсеть с адресами 192.168.131.130-192.168.131.193

и маской 255.255.255.0.

Необходимо­ прохождени­е сигнала только по 135 порту. Веб интерфейс на циске по каким-то причинам недоступен­ (все настройки для поднятия веб-интерфейса­ выполнены,­ скачан ASDM, виснет при попытке подключени­я, логины и пароли для подключени­я по ASDM на циске выставлены­, сброс к дефолтным настройкам­ не помог).

В итоге конфигурир­ование возможно только через консоль. Прошу помощи в разрешении­ моей проблемы.

Cisco Employee

Ask the expert: Конфигурирование и траблш

Константин, добрый день!

Покажите, пожалуйста, sh ver и текущий sh run c ASA.

Также скажите на каком интерфейсе ASA и для каких сетей вы хотите открыть порт 135.

С уважением,

Алла

New Member

Ask the expert: Конфигурирование и траблш

Добрый день Анна!

Текст запросов:

sh ver

Cisco Adaptive Security Appliance Software Version 8.3(2)

Device Manager Version 6.3(2)

Compiled on Fri 30-Jul-10 20:17 by builders

System image file is "disk0:/asa832-npe-k8.bin"

Config file at boot was "startup-config"

ciscoasa up 1 day 1 hour

Hardware:   ASA5505, 512 MB RAM, CPU Geode 500 MHz

Internal ATA Compact Flash, 128MB

BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)

                             Boot microcode   : CN1000-MC-BOOT-2.00

                             SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03

                             IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.06

0: Int: Internal-Data0/0    : address is 30e4.dbf6.6913, irq 11

1: Ext: Ethernet0/0         : address is 30e4.dbf6.690b, irq 255

2: Ext: Ethernet0/1         : address is 30e4.dbf6.690c, irq 255

3: Ext: Ethernet0/2         : address is 30e4.dbf6.690d, irq 255

4: Ext: Ethernet0/3         : address is 30e4.dbf6.690e, irq 255

5: Ext: Ethernet0/4         : address is 30e4.dbf6.690f, irq 255

6: Ext: Ethernet0/5         : address is 30e4.dbf6.6910, irq 255

<--- More --->

7: Ext: Ethernet0/6         : address is 30e4.dbf6.6911, irq 255

8: Ext: Ethernet0/7         : address is 30e4.dbf6.6912, irq 255

9: Int: Internal-Data0/1    : address is 0000.0003.0002, irq 255

10: Int: Not used            : irq 255

11: Int: Not used            : irq 255

Licensed features for this platform:

Maximum Physical Interfaces    : 8              perpetual

VLANs                          : 3              DMZ Restricted

Dual ISPs                      : Disabled       perpetual

VLAN Trunk Ports               : 0              perpetual

Inside Hosts                   : Unlimited      perpetual

Failover                       : Disabled       perpetual

VPN-DES                        : Enabled        perpetual

VPN-3DES-AES                   : Disabled       perpetual

SSL VPN Peers                  : 2              perpetual

Total VPN Peers                : 10             perpetual

Shared License                 : Disabled       perpetual

AnyConnect for Mobile          : Disabled       perpetual

AnyConnect for Cisco VPN Phone : Disabled       perpetual

AnyConnect Essentials          : Disabled       perpetual

Advanced Endpoint Assessment   : Disabled       perpetual

Botnet Traffic Filter          : Disabled       perpetual

Intercompany Media Engine      : Disabled       perpetual

<--- More --->

This platform has a Base license.

Serial Number: JMX1533Z00G

Running Permanent Activation Key: 0xf623dd67 0x6c2e9625 0x68525d3c 0xbd84e060 0x412f0bbd

Configuration register is 0x1

Configuration last modified by enable_15 at 02:51:50.409 UTC Mon Jul 30 2012

ciscoasa(config)# sh run

: Saved

:

ASA Version 8.3(2)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address dhcp setroute

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

<--- More --->

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

ftp mode passive

object network obj_any

subnet 0.0.0.0 0.0.0.0

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network obj_any

nat (inside,outside) dynamic interface

<--- More --->

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

dhcpd address 192.168.1.5-192.168.1.254 inside

dhcpd enable inside

!

threat-detection basic-threat

<--- More --->

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

  message-length maximum client auto

  message-length maximum 512

policy-map global_policy

class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect rsh

  inspect rtsp

  inspect esmtp

  inspect sqlnet

  inspect skinny 

  inspect sunrpc

<--- More --->

  inspect xdmcp

  inspect sip 

  inspect netbios

  inspect tftp

  inspect ip-options

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:29ed3228e318ba37619dfecaf9a56389

: end

Для Ethernet0/0 - Ethernet0/3 Vlan 2 outside 192.168.0.1-192.168.0.254 255.255.255.0

Для Ethernet0/4-Ethernet0/6 Vlan 1 inside 192.168.131.129 -192.168.193 255.255.255.0

Сеть TCP/IPv4, доступность 135 потра необходима для обмена данными между OPC серверами.

С уважением, asuprom.

22913
Просмотры
73
Полезный материал
60
Ответы