Die Cisco Adaptive Security Appliance ist eine integrierte Sicherheitsausrüstung, die eine Vielzahl von Funktionen wie Firewall, Intrusion Prevention, VPN, Content Security, Unified Communications und Remote Access ausführen kann. Unter diesen Funktionen kann der ASA auch Routing unter Verwendung eines gängigen Routing-Protokolls wie z Routing-Informationsprotokoll (RUHE IN FRIEDEN), Enhanced Interior Gateway Routing Protocol (EIGRP), öffne den kürzesten Weg zuerst (OSPF) oder statische Routen.
In diesem Tutorial konzentrieren wir uns auf EIGRP konfigurieren. Wir werden die Schritte weiter gehen wie Sie die Adaptive Security Appliance konfigurieren um Routing-Funktionen auszuführen, Routing-Updates auszutauschen und eine statische Route neu zu verteilen.
In unserem Beispielszenario beziehen wir uns auf das folgende Diagramm.
In diesem speziellen Szenario nehmen die Router R1 und R2 und der ASA alle am EIGRP-Prozess teil. R1 liegt im internen Netz und R2 in der DMZ. Eine statische Standardroute zur Internet-Außenschnittstelle von ASA wird konfiguriert und in den EIGRP-Prozess neu verteilt.
Wir beginnen mit der Konfiguration von IP-Adressierung und EIGRP auf den beiden Routern R1 und R2.
Konfiguration des Routers R1:
R1#Terminal konfigurieren
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL/Z.
R1(config)#Schnittstelle FastEthernet0/0
R1 (config-if)#IP-Adresse 192.168.1.1 255.255.255.0
R1 (config-if) # kein Herunterfahren
R1(config-if)#exit
R1(config)#Schnittstelle FastEthernet1/0
R1 (config-if)#IP-Adresse 10.0.0.1 255.255.255.0
R1 (config-if) # kein Herunterfahren
R1(config-if)#exit
R1(config)#router eigrp 10
R1 (Konfigurationsrouter)#Netzwerk 10.0.0.0 0.0.0.255
R1 (Konfigurationsrouter)#Netzwerk 192.168.1.0 0.0.0.255
R1(config-router)#keine automatische Zusammenfassung
R1(config-router)#end
Router R2-Konfiguration:
R2#Terminal konfigurieren
Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL/Z.
R2(config)#Schnittstelle FastEthernet0/0
R2 (config-if)#IP-Adresse 192.168.2.1 255.255.255.0
R2 (config-if) # kein Herunterfahren
R2(config-if)#exit
R2(config)#Schnittstelle FastEthernet1/0
R2 (config-if)#IP-Adresse 10.1.1.1 255.255.255.0
R2 (config-if) # kein Herunterfahren
R2(config-if)#exit
R2(config)#router eigrp 10
R2 (Konfigurationsrouter)# Netzwerk 10.1.1.0 0.0.0.255
R2 (Konfigurationsrouter)#Netzwerk 192.168.2.0 0.0.0.255
R2(config-router)#keine automatische Zusammenfassung
R2(config-router)#end
Jetzt werden wir Konfigurieren Sie die ASA, das ist der Kern unseres Tutorials hier. Die ASA wird die drei Zonen im Netzwerk trennen: Innennetzwerk, DMZ und Außennetzwerk. Diese Appliance wurde hauptsächlich für den Einsatz an der Grenze zwischen internen und externen Netzwerken entwickelt. Dementsprechend verwendet die ASA unterschiedliche Sicherheitsstufen, die jeder Schnittstelle zugeordnet sind. Die Sicherheitsstufe ist eine Zahl zwischen 0 und 100. Dieser Wert gibt die Vertrauensstufe für das Netzwerk an, mit dem die Schnittstelle verbunden ist.
Für die Schnittstelle, die intern konfiguriert wird, wird ihr standardmäßig ein maximales Vertrauensniveau von 100 zugewiesen, und für die externe Schnittstelle ist der Standardwert 0, minimales Vertrauen. Wir können diese Ebene jederzeit ändern, aber für den Umfang dieses Tutorials belassen wir die Standardwerte. Außerdem werden wir eine zusätzliche Schnittstelle „DMZ“ konfigurieren und eine Sicherheitsstufe von 50 zuweisen.
Cisco ASA-Konfiguration:
ASA1# Terminal konfigurieren
ASA1(config)# Schnittstelle GigabitEthernet0
ASA1(config-if)# Beschreibung außerhalb der mit dem Internet verbundenen Schnittstelle
ASA1(config-if)# nameif außerhalb
ASA1(config-if)# Sicherheitsstufe 0
ASA1(config-if)# IP-Adresse 50.50.50.1 255.255.255.0
ASA1(config-if)# beenden
ASA1(config)# Schnittstelle GigabitEthernet1
ASA1(config-if)# Beschreibung Innere Schnittstelle verbunden mit R1
ASA1(config-if)# nameif drinnen
ASA1(config-if)# Sicherheitsstufe 100
ASA1 (config-if) # IP-Adresse 192.168.1.2 255.255.255.0
ASA1(config-if)# beenden
ASA1(config)# Schnittstelle GigabitEthernet2
ASA1(config-if)# Beschreibung DMZ-Schnittstelle verbunden mit R2
ASA1(config-if)# nameif dmz
ASA1(config-if)# Sicherheitsstufe 50
ASA1 (config-if) # IP-Adresse 192.168.2.2 255.255.255.0
ASA1(config-if)# beenden
Die externe Schnittstelle von ASA1 wird mit dem Internet verbunden und für den Umfang dieses Labs werden wir sie nur verwenden, um eine Standardroute zu haben, und wir werden die IP-Adresse 50.50.50.1 mit dem Standard-Gateway als nächstem Hop 50.50.50.2 zuweisen. Diese Standardroute wird von ASA1 an den Rest der EIGRP-Domäne neu verteilt.
Als Nächstes konfigurieren wir EIGRP auf ASA1, fügen eine standardmäßige statische Route hinzu und verteilen sie erneut in den EIGRP-Prozess.
ASA1(config)# Router eigrp 10
ASA1 (Konfigurationsrouter) # Netzwerk 192.168.1.0 255.255.255.0
ASA1 (Konfigurationsrouter) # Netzwerk 192.168.2.0 255.255.255.0
ASA1 (Konfigurationsrouter)# keine automatische Zusammenfassung
ASA1(config-router)# Statik neu verteilen
ASA1(config-router)#end
ASA1# Route außerhalb 0.0.0.0 0.0.0.0 50.50.50.2
Sobald das EIGRP konfiguriert ist, können wir jetzt überprüfen, ob es Nachbarbeziehungen mit den Peers aufgebaut und die standardmäßige statische Route neu verteilt hat:
Überprüfungsbefehle:
ASA1# zeigt eigrp-Nachbarn
EIGRP-IPv4-Nachbarn für Prozess 10
H Address Interface Hold Uptime SRTT RTO Q Seq (Sek.) (ms) Cnt Num1 192.168.2.1 Gi2 13 00:16:28 27 200 0 3
0 192.168.1.1 Gi1 11 00:16:28 13 200 0 5
ASA1# zeigt eigrp-Topologie
EIGRP-IPv4-Topologietabelle für AS(10)/ID(192.168.2.2)
Codes: P – Passiv, A – Aktiv, U – Aktualisieren, Q – Abfrage, R – Antworten,
r – Antwortstatus, s – sia-Status
P 0.0.0.0 0.0.0.0, 1 Nachfolger, FD ist 28160
über Rstatic (28160/0)
P 10.0.0.0 255.255.255.0, 1 Nachfolger, FD ist 30720
über 192.168.1.1 (30720/28160), GigabitEthernet1
P 10.1.1.0 255.255.255.0, 1 Nachfolger, FD ist 30720
über 192.168.2.1 (30720/28160), GigabitEthernet2
P 192.168.1.0 255.255.255.0, 1 Nachfolger, FD ist 28160
über Connected, GigabitEthernet1
P 192.168.2.0 255.255.255.0, 1 Nachfolger, FD ist 28160
über Connected, GigabitEthernet2
ASA1# zeigt eigrp-Schnittstellen
EIGRP-IPv4-Schnittstellen für Prozess 10
Xmit Queue Mean Pacing Time Multicast anstehend
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
innen 1 0/0 13 0/1 105 0
dmz 1 0/0 27 0/1 89 0
ASA1# Route anzeigen
Codes: C – verbunden, S – statisch, I – IGRP, R – RIP, M – mobil, B – BGP
D – EIGRP, EX – EIGRP extern, O – OSPF, IA – OSPF zwischen den Bereichen
N1 – OSPF NSSA externer Typ 1, N2 – OSPF NSSA externer Typ 2
E1 – OSPF extern Typ 1, E2 – OSPF extern Typ 2, E – EGP
i – IS-IS, L1 – IS-IS Level-1, L2 – IS-IS Level-2, ia – IS-IS Inter Area
* – Kandidatenstandard, U – Statische Route pro Benutzer, o – ODR
P – regelmäßig heruntergeladene statische RouteGateway of Last Resort ist 50.50.50.2 zum Netzwerk 0.0.0.0
C 50.50.50.0 255.255.255.0 ist direkt angeschlossen, außen
D 10.0.0.0 255.255.255.0 [90/30720] über 192.168.1.1, 0:19:52, innen
D 10.1.1.0 255.255.255.0 [90/30720] über 192.168.2.1, 0:19:53, dmz
C 192.168.1.0 255.255.255.0 ist direkt verbunden, innen
C 192.168.2.0 255.255.255.0 ist direkt verbunden, dmz
S* 0.0.0.0 0.0.0.0 [1/0] über 50.50.50.2, außerhalb
Lassen Sie uns auch die von den Routern empfangenen Routing-Updates überprüfen. Sie sollten die anderen an ASA1 angeschlossenen Netzwerke und die eingefügte statische Standardroute sehen:
R1#IP-Route anzeigen
Codes: C – verbunden, S – statisch, R – RIP, M – mobil, B – BGP
D – EIGRP, EX – EIGRP extern, O – OSPF, IA – OSPF zwischen den Bereichen
N1 – OSPF NSSA externer Typ 1, N2 – OSPF NSSA externer Typ 2
E1 – OSPF externer Typ 1, E2 – OSPF externer Typ 2
i – IS-IS, su – IS-IS-Zusammenfassung, L1 – IS-IS-Level-1, L2 – IS-IS-Level-2
ia – IS-IS Inter Area, * – Candidate Default, U – Statische Route pro Benutzer
o – ODR, P – periodisch heruntergeladene statische RouteGateway of Last Resort ist 192.168.1.2 zum Netzwerk 0.0.0.0
10.0.0.0/24 ist subnetziert, 2 Subnetze
D 10.1.1.0 [90/33280] über 192.168.1.2, 00:20:44, FastEthernet0/0
C 10.0.0.0 ist direkt verbunden, FastEthernet1/0
C 192.168.1.0/24 ist direkt verbunden, FastEthernet0/0
D 192.168.2.0/24 [90/30720] über 192.168.1.2, 00:20:45, FastEthernet0/0
D*EX 0.0.0.0/0 [170/30720] über 192.168.1.2, 00:20:45, FastEthernet0/0
R2#IP-Route anzeigen
Codes: C – verbunden, S – statisch, R – RIP, M – mobil, B – BGP
D – EIGRP, EX – EIGRP extern, O – OSPF, IA – OSPF zwischen den Bereichen
N1 – OSPF NSSA externer Typ 1, N2 – OSPF NSSA externer Typ 2
E1 – OSPF externer Typ 1, E2 – OSPF externer Typ 2
i – IS-IS, su – IS-IS-Zusammenfassung, L1 – IS-IS-Level-1, L2 – IS-IS-Level-2
ia – IS-IS Inter Area, * – Candidate Default, U – Statische Route pro Benutzer
o – ODR, P – periodisch heruntergeladene statische RouteGateway of Last Resort ist 192.168.2.2 zum Netzwerk 0.0.0.0
10.0.0.0/24 ist subnetziert, 2 Subnetze
C 10.1.1.0 ist direkt verbunden, FastEthernet1/0
D 10.0.0.0 [90/33280] über 192.168.2.2, 00:22:21, FastEthernet0/0
D 192.168.1.0/24 [90/30720] über 192.168.2.2, 00:22:21, FastEthernet0/0
C 192.168.2.0/24 ist direkt verbunden, FastEthernet0/0
D*EX 0.0.0.0/0 [170/30720] über 192.168.2.2, 00:22:21, FastEthernet0/0
Wir haben jetzt die drei durch ASA1 getrennten Netzwerke mit unterschiedlichen Sicherheitsstufen eingerichtet, die Routing-Informationen austauschen. Der ASA führt standardmäßig eine zustandsbehaftete Inspektion durch, daher müssen Zugriffslisten konfiguriert werden, um eine Verbindung zwischen den verschiedenen Sicherheitszonen herzustellen.
—Artikelverweis von https://www.tech21century.com
Mehr…
Wie konfiguriere ich SNMP auf einem Cisco IOS-basierten Router/Switch?
Grundlegende Informationen zum Konfigurieren von HSRP auf einem Cisco-Router
Wie konfiguriere ich IGRP (Interior Gateway Routing Protocol)?
Konfigurieren eines Cisco Wireless-Netzwerks
Wie richte ich eine Cisco ASA 5505 Firewall mit einem Wireless Router ein?
Wie kann ich OSPF-Probleme beheben?