5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (9 февраля 2011) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет сведения о том, как установить устройство адаптивной защиты Cisco (ASA) Версия 9.1 (5) для использования с тремя внутренними сетями. Для упрощения в маршрутизаторах используются статические маршруты.

Внесенный Магнусом Мортенсеном и Динкэром Шармой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA) Версия 9.1 (5).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Конфигурация ASA 9.1

Эти конфигурации используются в данном документе. При наличии результата выполнения команды write terminal для устройства Cisco, можно воспользоваться интерпретатором выходных данных команд (только для зарегистрированных пользователей) для просмотра потенциальных проблем и мер их устранения.

Конфигурации

Конфигурация маршрутизатора A
RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 25
no network-clock-participate slot 1
no network-clock-participate wic 0
no network-clock-participate wic 1
no network-clock-participate wic 2
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password ww
login
!
!
end

RouterA#

Конфигурация маршрутизатора B
RouterB#show running-config
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no network-clock-participate wic 1
no network-clock-participate wic 2
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.3.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.2
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password cisco
login
!
!
end

RouterB#

Пересмотр ASA 9.1 и более поздняя конфигурация
ASA#show run
: Saved
:
ASA Version 9.1(5)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa915-k8.bin

ftp mode passive

!--- Enable informational logging to see connection creation events

logging on
logging buffered informational

!--- Output Suppressed

!--- Creates an object called OBJ_GENERIC_ALL.
!--- Any host IP not already matching another configured
!--- object will get PAT to the outside interface IP
!--- on the ASA (or 10.165.200.226) for internet bound traffic.


object network OBJ_GENERIC_ALL
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface

!--- Output Suppressed

!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 203.0.113.3 1

!--- Define a route to the INTERNAL router with network 10.2.1.0.

route inside 10.2.1.0 255.255.255.0 10.1.1.2 1

!--- Define a route to the INTERNAL router with network 10.3.1.0.

route inside 10.3.1.0 255.255.255.0 10.1.1.3 1

: end

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Попытайтесь обратиться к вебу - узлы/URL через HTTP с web-браузером. Данный пример использует сайт, который размещен в 198.51.100.100. Если соединение успешно, эти выходные данные могут быть замечены на CLI ASA.

Соединение

ASA(config)# show connection address 10.2.1.124
16 in use, 918 most used
TCP outside 198.51.100.100:80 inside 10.2.1.124:18711, idle 0:00:16, bytes 1937,
flags UIO

ASA является самонастраивающимся межсетевым экраном, и ответный трафик от Web-сервера позволен назад через межсетевой экран, потому что это совпадает с соединением в таблице подключений межсетевого экрана. Трафик, который совпадает с соединением, которое существует ранее, позволен через межсетевой экран и не заблокирован интерфейсным ACL.

В предыдущих выходных данных клиент на внутреннем интерфейсе установил соединение с этими 198.51.100.100 хостами прочь внешнего интерфейса. Это соединение сделано с протоколом TCP и было простаивающим в течение шести секунд. Флаги соединения указывают на текущее состояние этого соединения. Дополнительные сведения о флагах соединения могут быть найдены во Флагах TCP - подключения ASA.

Syslog

ASA(config)# show log | include 10.2.1.124

Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
10.2.1.124/18711 to outside:203.0.113.2/18711

Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:10.2.1.124/18711 (203.0.113.2/18711)

Межсетевой экран ASA генерирует системные журналы во время нормальной работы. Системные журналы располагаются в многословии на основе конфигурации журнала. Выходные данные показывают два системных журнала, которые замечены на уровне шесть или 'информационном' уровне.

В данном примере существует два генерируемые системных журнала. Первым является сообщение журнала, которое указывает, что межсетевой экран создал трансляцию, в частности динамическую трансляцию TCP (PAT). Это указывает на IP - адрес источника и порт и преобразованный IP-адрес и порт, поскольку трафик пересекает от внутренней части до внешних интерфейсов.

Второй системный журнал указывает, что межсетевой экран создал соединение в своей таблице подключений для этого определенного трафика между клиентом и сервером. Если бы межсетевой экран был настроен для блокирования этой попытки подключения, или некоторый другой фактор запретил создание этого соединения (ограничения ресурса или вероятная неверная конфигурация), то межсетевой экран не генерировал бы журнал, который указывает, что было создано соединение. Вместо этого это регистрировало бы причину для соединения, которое будет запрещено или индикация о том, какой фактор запретил соединению то, чтобы быть созданным.

Преобразования NAT

ASA(config)# show xlate local 10.2.1.124
2 in use, 180 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
s - static, T - twice, N - net-to-net
TCP PAT from inside:10.2.1.124/18711 to outside:203.0.113.2/18711 flags ri idle
0:12:03 timeout 0:00:30

Как часть этой конфигурации, PAT настроен для перевода IP-адресов внутреннего хоста в адреса, которые маршрутизируемы в Интернете. Чтобы подтвердить, что эти трансляции созданы, можно проверить преобразования NAT (xlate) таблица. Команда show xlate, когда объединено с ключевым словом local и IP-адресом внутреннего хоста, показывает весь подарок записей в таблице преобразования для того хоста. Предыдущие выходные данные показывают, что существует трансляция, в настоящее время созданная для этого хоста между внутренними и внешними интерфейсами. IP внутреннего хоста и порт преобразованы в эти 203.0.113.2 адресов на нашу конфигурацию. Перечисленные флаги, r i, указывают, что трансляция является динамичной и portmap. Дополнительные сведения о других конфигурациях NAT могут быть найдены в информации О NAT.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

ASA предоставляет множественные программные средства, с которыми можно устранить неполадки подключения. Если проблема сохраняется после того, как вы проверяете конфигурацию и проверяете выходные данные, перечисленные ранее, эти программные средства и способы могли бы помочь определять причину сбоя подключения.

Средство трассировки пакетов

ASA(config)# packet-tracer input inside tcp 10.2.1.124 1234 198.51.100.100 80 


--Omitted--

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Пакетная функциональность трассировщика на ASA позволяет вам задавать моделируемый пакет и видеть все различные шаги, проверки и функции, которые проходит через межсетевой экран, когда это обрабатывает трафик. С этим программным средством полезно определить пример трафика, которому вы верите , должен быть позволен пройти через межсетевой экран и использование, что 5-tupple для моделирования трафика. В предыдущем примере пакетный трассировщик используется для моделирования попытки подключения, которая соответствует этим критериям:

Заметьте, что не было никакого упоминания об интерфейсе снаружи в команде. Это пакетным дизайном трассировщика. Программное средство говорит вам, как межсетевой экран обрабатывает ту попытку типа соединения, которая включает, как это направило бы его, и из который интерфейс. Дополнительные сведения о пакетном трассировщике могут быть найдены в Отслеживании Пакетов с Пакетным Трассировщиком.

Перехват


ASA# capture capin interface inside match tcp host 10.2.1.124 host 198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100

ASA#  show capture capin

3 packets captured

  1: 11:31:23.432655      10.2.1.124.18711 > 198.51.100.100.80: S 780523448:
780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
  2: 11:31:23.712518      198.51.100.100.80 > 10.2.1.124.18711: S 2123396067:
2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
  3: 11:31:23.712884      10.2.1.124.18711 > 198.51.100.100.80: . ack 2123396068
win 32768
  
  
  
ASA# show capture capout

3 packets captured

  1: 11:31:23.432869      203.0.113.2.18711 > 198.51.100.100.80: S 1633080465:
1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
  2: 11:31:23.712472      198.51.100.100.80 > 203.0.113.2.18711: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
  3: 11:31:23.712914      203.0.113.2.18711 > 198.51.100.100.80: . ack 95714630
win 32768/pre>

Межсетевой экран ASA может перехватить трафик, который вводит или оставляет его интерфейсы. Эта функциональность перехвата является фантастической, потому что может окончательно оказаться, достигает ли трафик или уезжает от, межсетевой экран. Предыдущий пример показал конфигурацию двух перехватов, названных capin и capout на внутренних и внешних интерфейсах соответственно. Команды перехвата использовали ключевое слово соответствия, которое позволяет вам быть определенными, о каком трафике вы хотите перехватить.

Для перехвата capin, это было обозначено, что вы хотели совпасть с трафиком, замеченным на внутреннем интерфейсе (вход или выход), который совпадает, tcp размещает 10.2.1.124 хоста 198.51.100.100. Другими словами, вы хотите перехватить любой Трафик TCP, который передается от хоста 10.2.1.124 для хостинга 198.51.100.100 или наоборот. Использование ключевого слова соответствия позволяет межсетевому экрану перехватывать тот трафик двунаправленным образом. Команда перехвата, определенная для внешнего интерфейса, не ссылается на IP-адрес внутреннего клиента, потому что межсетевой экран проводит PAT на том IP-адресе клиента. В результате вы не можете совпасть с тем IP-адресом клиента. Вместо этого данный пример использует любого, чтобы указать, что все возможные IP-адреса совпали бы с тем условием.

После настройки перехватов вы тогда попытались бы установить соединение снова и продолжить просматривать перехваты с командой <capture_name> show capture. В данном примере вы видите, что клиент смог соединиться с сервером как очевидный трехсторонним квитированием TCP, замеченным в перехватах.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 10137