Cisco ASA CLI/ASDM для Макетов
Мы используем очень простую схему именования для ПК, просто pc001, pc002 и т.д. Затем для устанавливания связи с пользователем, который в настоящее время является в той машине мы используем поле 'описания'. В здесь мы обычно ставим имя пользователя в той машине.
Описание может быть очень легко изменено - намного больше, чем подлинное имя самого ПК.
Для наблюдения, кто использует, какая машина, простое 'сетевое представление' команда генерирует список названий ПК и соответствия описаниям. Например:
\\PC001 John Smith
\\PC002 John Doe
\\PC003 Long John Silver
Это, возможно, не масштабирует это хорошо, когда Вы получаете тысячи пользователей, но мы имеем приблизительно 250 и не испытываем затруднений вообще из-за этого метода - он работает очень хорошо на нас.
Я понимаю, что Ваша боль, исследование и практика будут Вашими лучшими друзьями. Вот некоторые мои закладки для контакта с устройствами Cisco:
- Демистифицирование Cisco ASA:
http://episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/447004091931 - 8 Основных команд для конфигурирования Вашего Cisco ASA:
http://blog.soundtraining.net/2008/04/eight-basic-commands-to-configure-cisco.html - Анатомия списка доступа:
http://i.cmpnet.com/nc/907/graphics/access.pdf - Cisco 'Практические Учебные' Подкасты: (Партия бесплатного видео на Cisco CLI - Наиболее рекомендуемый!)
http://ciscohandsontraining.com/
Всего наилучшего
-
1feeds.feedburner.com/CiscoHandsOnTraining – l0c0b0x 6 August 2009 в 23:40
-
2почти точно, что я искал. Особенно средние 2.Спасибо – Dayton Brown 7 August 2009 в 04:51
Можно выполнить Cisco asa в два маршрутизатора режимов и прозрачный режим и переговоры по учебному руководству GregD о режиме маршрутизатора asa., если у Вас уже есть маршрутизатор, я рекомендую Вам использовать Cisco asa в прозрачном как брандмауэр Уровня 2, и это действует как "скрытый брандмауэр" также, и является ненужным переадресовать IP.
В режиме маршрутизации некоторые типы трафика не могут пройти через средство обеспечения безопасности даже при разрешении его в списке доступа. С другой стороны, в прозрачном режиме, который может позволить любой трафик через с любым расширенный список доступа (для трафика IP) или Список доступа EtherType (для трафика неIP).
-
1Я предостерег бы против помещения Вашего ASA в прозрачном режиме. Вы не можете завершить VPNs на брандмауэре в прозрачном режиме и you' ll теряют ту значительную часть функциональности от Вашего ASA. – GregD 6 August 2009 в 23:34
Эта статья возвращается к основам относительно брандмауэров Cisco ASA. Я предлагаю Вам здесь учебное руководство по базовой конфигурации для средства обеспечения безопасности Cisco ASA 5510. Это устройство является второй моделью в серии ASA (ASA 5505, 5510, 5520 и т.д.) и довольно популярно, так как предназначается для малых и средних предприятий. Как наименьшая модель ASA 5505, эти 5510 идут с двумя параметрами лицензии: Базовая лицензия и безопасность Плюс лицензия. Второй (безопасность плюс) обеспечивает некоторую производительность и повышение оборудования по базовой лицензии, такое как 130 000 Максимальных соединений брандмауэра (вместо 50 000), 100 Максимальных VLAN (вместо 50), Дублирование Обработки отказа, и т.д. Кроме того, безопасность плюс лицензия позволяет двум из пяти сетевых портов брандмауэра работать 10/100/1000 вместо только 10/100.
Затем мы будем видеть простой сценарий доступа в Интернет, который поможет нам понять, что основные шаги должны были установить ASA 5510. Предположите, что нам присваивают статический общедоступный IP-адрес 100.100.100.1 от нашего ISP. Кроме того, внутренняя локальная сеть принадлежит подсети 192.168.10.0/24. Интерфейс Ethernet0/0 будет подключен к внешней стороне (к ISP), и Ethernet0/1 будет подключен к Внутреннему LAN-коммутатору. Обратитесь к схеме ниже для нашего сценария в качестве примера.
сопроводительный текст http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg
Брандмауэр будет настроен для предоставления IP-адресов динамично (использующий DHCP) к внутренним узлам. Вся исходящая коммуникация (изнутри к внешней стороне) будет переведена с помощью Перевода адреса порта (PAT) на внешнем открытом интерфейсе. Давайте посмотрим отрывок необходимых шагов конфигурации для этого основного сценария:
Шаг 1: Настройте привилегированный пароль уровня (включите пароль),
По умолчанию нет никакого пароля для доступа к брандмауэру ASA, таким образом, первый шаг прежде, чем сделать что-либо еще должен настроить привилегированный пароль уровня, который будет необходим для предоставления последующего доступа к устройству. Настройте это под Режимом Конфигурации:
ASA5510(config)# enable password mysecretpassword
Шаг 2: Настройте общественность вне интерфейса
ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut
Шаг 3: Настройте доверяемый внутренний интерфейс
ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut
Шаг 4: Настройте PAT во внешнем интерфейсе
ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0
Шаг 5: Настройте Маршрут По умолчанию к ISP (предположите, что шлюз по умолчанию 100.100.100.2)
ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
Шаг 6: Настройте брандмауэр для присвоения внутреннего IP и адреса DNS к хостам с помощью DHCP
ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside
Вышеупомянутая базовая конфигурация является только началом для того, чтобы сделать устройство операционным. Существует намного больше опций конфигурации, которые необходимо реализовать для увеличения безопасности сети, такой как Статический и Динамический NAT, Списки управления доступом к потоку трафика управления, зонам демилитаризованной зоны, VPN и т.д. Я просто попытался предложить Вам начальную точку для базовой конфигурации от того, где можно создать знание далее.
Я - парень, который написал ранее упомянутую статью "8 Основных команд для конфигурирования Вашего Cisco ASA". Когда Cisco изменила PAT/конфигурацию NAT весной 2010 года, она сделала некоторые из тех команд устаревшими. Я обновил статью с новым сообщением в блоге по http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html. Надежда, которая помогает.