ダミー向けCisco ASA CLI / ASDM
シスコのことになると、私はバカみたいです。通常、ほとんどのファイアウォールを理解し、ネットマスク、IPアドレッシング、DMZ、NATなどを理解できます。しかし、何らかの理由で、Cisco ASAを取得できません。 CLIとASDMの両方。
簡単に言えば、基本的な構成ファイルにコメントを付けて理解できるようにしてくれる優れたサイトまたは誰かを探しています。
そして、はい、私はRTFMを試しました。
どうもありがとうございました。
あなたの痛み、研究、実践があなたの親友になることを理解しています。シスコのデバイスを扱うためのブックマークの一部を以下に示します。
- Cisco ASAの謎を解く:
http://episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/447004091931 - Cisco ASAを設定するための8つの基本コマンド:
http://blog.soundtraining.net/2008/04/eight-basic-commands-to-configure-Cisco.html - アクセスリストの構造:
http://i.cmpnet.com/nc/907/graphics/access.pdf - シスコ「ハンズオントレーニング」ポッドキャスト:(Cisco CLIの無料ビデオの多く-強くお勧めします!)
http://ciscohandsontraining.com/
がんばって!
前述の記事「Cisco ASAを設定するための8つの基本コマンド」を書いたのは私です。 2010年の春にシスコがPAT/NAT設定を変更したとき、これらのコマンドの一部は廃止されました。 http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html の新しいブログ投稿で記事を更新しました。お役に立てば幸いです。
あなたがやろうとしていることは何ですか?
ASAにアクセスできるかもしれませんが、何を達成しようとしているのかわからないので、関連する構成のビットを推測することはできません。
から ここ :
この記事では、Cisco ASAファイアウォールの基本について説明します。ここでは、Cisco ASA 5510セキュリティアプライアンスの基本的な設定チュートリアルを提供します。このデバイスは、ASAシリーズの2番目のモデル(ASA 5505、5510、5520など)であり、中小規模の企業を対象としているため、かなり人気があります。最小のASA 5505モデルと同様に、5510には2つのライセンスオプションが付属しています。基本ライセンスとSecurity Plusライセンスです。 2つ目(セキュリティプラス)は、基本ライセンスに対してパフォーマンスとハードウェアの拡張機能を提供します。たとえば、最大ファイアウォール接続数130,000(50,000ではなく)、最大VLAN数100(50ではなく)、フェイルオーバー冗長性などです。また、セキュリティプラスライセンス5つのファイアウォールネットワークポートのうち2つが、10/100だけでなく10/100/1000として機能するようにします。
次に、ASA 5510をセットアップするために必要な基本的な手順を理解するのに役立つ簡単なインターネットアクセスシナリオを示します。ISPから静的パブリックIPアドレス100.100.100.1が割り当てられているとします。また、内部LANネットワークはサブネット192.168.10.0/24.に属します。インターフェースEthernet0/0は外部(ISPに向かって)に接続され、Ethernet0/1は内部LANスイッチに接続されます。シナリオ例については、以下の図を参照してください。
代替テキストhttp://www.Cisco-tips.com/images/asa-5510-basic-configuration.jpg
ファイアウォールは、IPアドレスを動的に(DHCPを使用して)内部ホストに提供するように構成されます。すべてのアウトバウンド通信(内部から外部へ)は、外部パブリックインターフェイスでポートアドレス変換(PAT)を使用して変換されます。この基本的なシナリオに必要な構成手順のスニペットを見てみましょう。
ステップ1:特権レベルのパスワードを設定する(パスワードを有効にする)
デフォルトでは、ASAファイアウォールにアクセスするためのパスワードはありません。そのため、他に何かをする前の最初のステップは、アプライアンスへの以降のアクセスを許可するために必要な特権レベルのパスワードを設定することです。これを構成モードで構成します。
ASA5510(config)# enable password mysecretpassword
ステップ2:パブリック外部インターフェイスを設定します
ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut
ステップ3:信頼できる内部インターフェースを設定します
ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut
ステップ4:外部インターフェイスでPATを設定します
ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0
ステップ5:ISPへのデフォルトルートを設定します(デフォルトゲートウェイが100.100.100.2であると想定)
ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
ステップ6:DHCPを使用してホストに内部IPおよびDNSアドレスを割り当てるようにファイアウォールを構成します
ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside
上記の基本構成は、アプライアンスを動作させるためのほんの始まりにすぎません。静的および動的NAT、トラフィックフローを制御するアクセス制御リスト、DMZゾーン、VPNなど)など、ネットワークのセキュリティを強化するために実装する必要のある構成機能は他にも多数あります。知識をさらに深めることができる基本的な構成の出発点を提供しようとしただけです。
Cisco asaは、ルーターモードと透過モードの2つのモードで実行できます。GregDチュートリアルでは、asaのルーターモードについて説明しています。すでにルーターがある場合は、レイヤー2ファイアウォールとして透過的にCisco ASAを使用することをお勧めします。これは「ステルスファイアウォール」のように機能し、IPのアドレスを再設定する必要はありません。
ルーテッドモードでは、アクセスリストで許可しても、一部のタイプのトラフィックはセキュリティアプライアンスを通過できません。または、透過モードでは、拡張アクセスリスト(IPトラフィックの場合)またはEtherTypeアクセスリスト(非IPトラフィックの場合)のいずれかでトラフィックを通過させることができます。