Hostname
В сети с большим многообразием сетевого оборудования семейства кошачих есть смысл давать уникальные имена данным устройствам. Для этого существует интуитивно понятная команда hostname. Имя может иметь до 63 буквенно-числовых символов в верхнем и нижнем регистрах.
Cisco-ASA (config)# hostname Pix-Firewall
PIX-Firewall(config)#
Interface
Команда interface определяет интерфейс и его расположение (слот) на Cisco ASA (PIX фаерволе) (ID интерфейса). Интерфейсы на PIX фаерволе считаются от 0 до X (самого последнего), а на Cisco ASA c 0/0 до 0/X соответственно. Для входа в конфигурацию интерфейса, необходимо указать его тип, слот и порт. Например, на PIX фаерволе это будет Ethernet0, а на Cisco ASA – GigabitEthernet0/0 либо Management0/0. После чего мы можем задать необходимые нам параметры.
Надо помнить, что по умолчанию интерфейсы выключены, поэтому не забываем их включать командой no shutdown.
Команда interface имеет следующий синтаксис:
interface {physical_interface[.subinterface] | mapped_name}
- mapped_name – имя интерфейса заданное командой allocate-interface, которое используется вместо ID интерфейса в режиме виртуального фаервола
- physical_interface – тип[слот]порт интерфейса. В зависимости от Cisco ASA (PIX фаервола), типы интерфейсов могут быть:
- ethernet
- gigabitethernet
- management
Насчет слотов сказано выше, если устройство их имеет, то указываем. - subinterface – (опционально) логический подинтерфейс интерфейса. Значения могут быть от 1 до 4294967293
Пример:
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)#
Nameif
Эта команда дает имя интерфейсу на устройстве защиты. По умолчанию первые два интерфейса имеют имена inside и outside. Команда имеет следующий синтаксис:
nameif if_name
if_name – собственно само имя интерфейса
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)# nameif outside
IP address
Любому из интерфейсов устройства защиты вы можете присвоить ip адрес. Если при задании ip адреса вы допустите ошибку, просто введите команду заново. Командой clear configure ip сбрасываются ip адреса на всех интерфейсах. Командой ip address также задается резервный адрес в конфигурации файловера (failover)
Синтаксис:
ip address ip_address [mask] [standby ip_address]
Пример:
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)# nameif inside
PIX-firewall (config-if)# ip address 192.168.1.1 255.255.255.0
Также возможно динамическое назначение адреса интерфейсу Cisco ASA (PIX фаервола) средствами DHCP. В этом случае устройство выступает в качестве DHCP клиента, которому DHCP сервер назначает ip адрес, маску и (опционально) маршрут по умолчанию. Для этих целей используется команда ip address dhcp.
Также эта команда, введенная повторно, освобождает выделенный адрес и обновляет аренду DHCP. Для отладки в случае траблшутинга используйте команды debug dhcpc event | packet | error.
Синтаксис:
ip address dhcp [setroute] [retry retry_cnt]
show ip address if_interface dhcp lease | server
no ip address dhcp
Параметры:
- setroute – использовать маршрут по умолчанию посылаемый DHCP сервером
- retry retry_cnt – количество попыток получить адрес от DHCP сервера. По умолчанию 4 (может быть от 4 до 16)
Команда show ip address if_interface dhcp lease покажет информацию о текущем арендованном адресе,
PIX-Firewall # show ip address outside dhcp lease
Temp IP addr: 192.168.1.1 for peer on Interface: outside
Temp sub net mask: 255.255.255.0
DHCP Lease server: 10.10.10.1, state: 3 Bound
DHCP transaction id: 0x902F
Lease: 841200 secs, Renewal: 244630 secs, Rebind: 620032
secs
Next timer fires after: 349209 seconds
Retry count: 0 Client-ID: cisco-000b.fcf8.c538-outside-3
Proxy: FALSE
Hostname: PIX-Firewall
а команда show ip address if_interface dhcp server о DHCP сервере
PIX-Firewall (config-if)# show ip address outside dhcp server
DHCP server: ANY (255.255.255.255)
Leases: 0
Offers: 0 Requests: 0 Acks: 0 Naks: 0
Declines: 0 Releases: 0 Bad: 0
DHCP server: 10.10.10.1
Leases: 1
Offers: 1 Requests: 1 Acks: 1 Naks: 0
Declines: 0 Releases: 0 Bad: 0
Subnet: 255.255.255.0
Пример:
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)# nameif outside
PIX-firewall (config-if)# ip address dhcp
Но помните, что Cisco ASA (PIX фаервол) сконфигурированные в режиме DHCP клиента не поддерживают файловер (failover) конфигурацию.
Security level
По умолчанию, когда вы включите Cisco ASA (PIX фаервол), вы увидите, что внутреннему (inside) и внешнему (outside) интерфейсам уже присвоены уровни безопасности. 100 – внутреннему, 0 – внешнему. При задании имени другим интерфейсам, устройство защиты автоматически назначает им уровень безопасности 0, который вы должны будете изменить в соответствии с вашим дизайном сети.
Синтакс:
security-level number
Пример:
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)# nameif outside
PIX-firewall (config-if)# ip address 192.168.1.1
PIX-firewall (config-if)# security-level 0
По умолчанию трафик невозможен между интерфейсами с одинаковыми уровнями безопасности. Воспользуйтесь командой same-security-traffic, чтобы это изменить, например, если вы не хотите использовать трансляцию адресов (NAT).
Если уже в работе устройства, вы изменили уровень безопасности интерфейса и не хотите ждать, пока существующие соединения закроются, используйте команду clear xlate, очищиающую таблицу трансляций (translation table) Однако, в этом случае все существующие соединения будут сброшены.
Duplex and speed
По умолчанию Cisco ASA (PIX фаервол) автоматически определяет скорость соединения. Однако наличие свичей и других устройств, которые не поддерживают автоматическое определение скорости, может заставить вас задать её вручную.
Синтакс:
speed {auto | 10 | 100 | nonegotiate}
duplex {auto | full | half}
Пример:
PIX-firewall (config)# interface Ethernet0
PIX-firewall (config-if)# nameif outside
PIX-firewall (config-if)# ip address 192.168.1.1
PIX-firewall (config-if)# security-level 0
PIX-firewall (config-if)# speed 100
PIX-firewall (config-if)# duplex full
NAT
NAT (Network Address Translation) – трансляция адресов скрывает адреса вашей сети от устройств, находящихся за Cisco ASA (PIX фаерволом). При прохождении пакетов через Cisco ASA (PIX фаервол), внутренние адреса вашей сети перед выходом с внешнего интерфейса транслируются в другие адреса. NAT конфигурируется с помощью команд nat и global.
Когда исходящий пакет от устройства вашей внутренней сети попадает на Cisco ASA (PIX фаервол), на котором сконфигурирован NAT, адрес источника пакета сравнивается с таблицей существующих трансляций. Если этого адреса источника нет в таблице, он транслируется в один из адресов пула и в таблице трансляций появляется новая запись для этого адреса источника. Пул выдаваемых адресов конфигурируется командой global. После этих действий, таблица трансляций обновляется и пакет форвардится дальше. После определенного времени (три часа по умолчанию), если от адреса источника не поступало пакетов, запись для этого адреса в таблице трансляций очищается и адрес, который был выдан пулом, освобождается для использования другими устройствами внутренней сети.
На рисунке хост с внутренним адресом 10.0.0.1 открывает исходящее соединение с сервером 5.0.0.1, при прохождении пакета через устройство защиты, реальный адрес источника пакета (10.0.0.1) транслируется в адрес 5.0.0.2, который и видит внешний сервер и соответственно посылает пакеты на этот адрес (5.0.0.2). Cisco ASA (PIX фаервол), получая эти ответные пакеты, перед отправкой их внутреннему хосту, транслирует адрес назначения пакета (5.0.0.2) во внутренний адрес хоста (10.0.0.1).
Outside global – так при использовании NAT называют все внешние или глобальные адреса (это уникальные маршрутизируемые адреса в рамках глобальной сети)
Inside local – а это внутренние адреса, которые не маршрутизируются в глобальной сети, они не уникальны, например, это адреса частных подсетей
Давайте рассмотрим, каким образом мы можем сконфигурировать NAT на Cisco ASA (PIX фаерволе) и задать правила трансляции.
С помощью команды nat мы задаем правила трансляции адресов исходящих пакетов для одного либо нескольких хостов.
Синтаксис:
nat [(if_name)] nat_id address [netmask] [dns] [[tcp] tcp_max_conns [emb_limit] [norandomseq]]] [udp udp_max_conns]
Пример:
PIX-firewall (config)# nat (inside) 1 10.0.0.0 255.255.255.0
Два основных параметра команды – это nat_id и address [netmask]. nat_id – это число от 1 до 65535, соответствующее номеру пула глобальных адресов, в которые будут транслироваться внутренние адреса. Пул задается командой global (об этом чуть позже). Поэтому значение параметра nat_id определяет в какие адреса будут транслироваться внутренние адреса хостов.
Мы можем транслировать все внутренние адреса либо какие-то определенные. Как раз какие адреса мы хотим транслировать определяет параметр address [netmask]. Несколько примеров:
nat (inside) 1 10.0.1.0 255.255.255.0 – необходимо транслировать все адреса сети 10.0.1.0
nat (inside) 1 0.0.0.0 0.0.0.0 – необходимо транслировать все адреса внутренней сети (0.0.0.0 можно заменить просто на 0)
nat (inside) 1 10.0.0.1 255.255.255.255 – необходимо транслировать только адрес хоста 10.0.0.1
Теперь вкратце поясним остальные параметры команды nat:
- if_name – имя интерфейса, который подключен к сети, адреса которой необходимо транслировать.
- max_conns – Максимальное число одновременых соединений, разрешенных IP хостам внутренней сети
- emb_limit – Максимальное число незавершенных (embryonic) соединений (соединений, которые еще не были до конца установлены между источником и назначением, например, при установке TCP соединения между хостами). Для слабых Cisco ASA (PIX фаерволов) рекомендуется ставить меньшее значение, а для более мощных – большее. По умолчанию – 0.
- tcp_max_conns – Максимальное число одновременых TCP соединений, разрешенных IP хостам внутренней сети (Соединения в состоянии бездействия закрываются автоматически по истечении таймаута, задаваемого командой timeout conn)
- udp_max_conns – Максимальное число одновременых UDP соединений, разрешенных каждому из IP хостов внутренней сети (Соединения в состоянии бездействия закрываются автоматически по истечении таймаута, задаваемого командой timeout conn)
Global
Как уже было сказано, команда nаt в параметре nat_id указывает номер пула глобальных адресов. Командой global можно сконфигурировать несколько таких пулов.
Синтаксис:
global [(if_name)] nat_id {mapped_ip [-mapped_ip] [netmask mapped_mask]} | interface
Пример:
PIX-firewall (config)# nat (inside) 1 10.0.0.0 255.255.255.0
PIX-firewall (config)# global (outside) 1 5.0.0.2-5.0.0.100
В примере выше мы сконфигурировали пул из 99 адресов (5.0.0.2-5.0.0.100) под номером 1, в которые будут транслироваться внутренние адреса хостов из сети 10.0.0.0 при прохождении сетевых пакетов через устройство защиты.
Адреса выдаются динамически, начиная с начала диапазона и до его конца (те. первым выданным адресом в примере выше будет 5.0.0.2)
Теперь вкратце об остальных параметрах команды global:
- if_name – имя интерфейса, где необходимо использовать задаваемый пул глобальных адресов
- mapped_ip [-mapped_ip] – один адрес либо диапазон адресов
- netmask mapped_mask – маска для пула адресов, если используются подсети. Здесь надо иметь ввиду, что если диапазон адресов с заданной маской покрывает несколько подсетей, то адрес подсети и широковещательный адрес подсети выдаваться не будут. Например, если вы задали диапазон адресов 192.168.10.20-192.168.10.140 и маску 255.255.255.128, то адрес второй подсети 192.168.10.128 и широковещательный адрес первой подсети 192.168.10.127 выдаваться не будут.
- interface – определяет использование PAT – Port Address Translation на интерфейсе.
Заметьте, что после применения, изменения либо удаления конфигурации командой global, рекомендуется выполнять команду clear xlate для очистки таблицы трансляции.
Nat control
Режим NAT CONTROL включается аналогичной командой nat control. Данный режим требует, чтобы пакеты, идущие из внутреннего (inside) интерфейса на внешний (outside), имели сконфигурированное для них правило трансляции. То есть, чтобы каждый хост внутренней сети мог обмениваться данными с хостами внешней сети, вы должны задать правила трансляции для этих внутренних хостов. Если на Cisco ASA (PIX фаервол) приходит пакет от внутреннего хоста, для которого не сконфигурировано правило трансляции, устройство не обрабатывает этот пакет.
В нормальном же режиме (а nat control по умолчанию выключен) Cisco ASA (PIX фаервол) транслирует адрес источника пакета, если находит правило трансляции для этого адреса, если же правило не найдено, обработка пакета продолжается.
Route
Для задания статических маршрутов для интерфейсов используется команда route.
Синтаксис:
route if_name ip_address netmask gateway_ip [metric]
Пример:
PIX-Firewall (config)# route outside 0.0.0.0 0.0.0.0 15.0.0.1 1
PIX-Firewall (config)# route inside 10.0.1.0 255.255.255.0 10.0.0.99 1
Смысл команды – чтобы послать пакеты в указанную сеть либо подсеть (это параметры ip_address netmask), необходимо отправить их на этот (параметр gateway_ip) шлюз.
Для задания маршрута по умолчанию (то есть маршрута, по которому посылаются все пакеты, адрес сети либо подсети назначения которых не присутствует в таблице маршрутизации Cisco ASA (PIX фаервола) вместо ip_address и netmask указывается 0.0.0.0 (либо просто 0).
параметр metric число прыжков (hops) до шлюза указанного в параметре gateway_ip. По умолчанию 1
Возможно задание ip адреса интерфейса Cisco ASA (PIX фаервола) в качестве параметра gateway_ip. В этом случае Cisco ASA (PIX фаервол) будет посылать широковещательный ARP запрос MAC адреса, который принадлежит устройству с адресом указанным в качестве адреса назначения, вместо ARP запроса MAC адреса шлюза.
Name
В заключении упомянем еще и такую полезную команду, которая позволяет сконфигурировать алиасы (соответствие) имен и ip адресов на конкретном Cisco ASA (PIX фаерволе). Выгода этого в том, что в конфигурировании устройства можно будет использовать заданные имена вместо ip адресов.
Синтаксис:
names
name ip_address name
Пример:
PIX-Firewall (config)#names
PIX-Firewall (config)# name 1.1.0.2 somehost
PIX-Firewall (config)# name 10.0.0.1 anotherhost
PIX-Firewall # ping somehost
В качестве имени можно использовать следующие символы: a-z A-Z 0-9 – _
Имя не может начинаться с цифры и не должно превышать 16 символов.
Команда names активирует (или дает возможность применять) команду name. Чтобы удалить все алиасы используйте команду clear configure names. Команда no names деактивирует команду name, но не удаляет уже существующие алиасы. Чтобы посмотреть плоды рук своих, воспользуйтесь командой show names.
Источник www.ciscolab.ru