URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1025
[ Назад ]
Исходное сообщение
"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Shikarito , 19-Окт-13 14:46 
Доброго времени суток.
Прошу помощи в связи с полным провалом поиска решения в поисковых системах.
Требуется настроить Cisco asa 5505 ver. 9.1(3) таким образом:

В сети не хватает ip адресов на все компы, приняли решение, что ASA Сможет нам помочь.
Прогресс встал на настройке Nat. Инет входит в АСУ через порт 0/0 но только там и остается.

sh run
: Saved
:
ASA Version 9.1(3)
!
hostname ciscoasa
domain-name cisco.local
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
description router network
switchport access vlan 22
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif uprav
security-level 100
ip address 10.10.0.1 255.255.255.0
!
interface Vlan2
nameif people
security-level 0
ip address 10.10.10.1 255.255.255.0
!
interface Vlan22
nameif outside
security-level 0
ip address 192.168.5.50 255.255.255.0
!
interface Vlan999
shutdown
nameif port_not_used
security-level 0
no ip address
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name cisco.local
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu uprav 1500
mtu people 1500
mtu outside 1492
mtu port_not_used 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
...
dhcpd address 10.10.0.2-10.10.0.33 uprav
dhcpd enable uprav
!
dhcpd address 10.10.10.2-10.10.10.33 people
dhcpd enable people

(всё что умею)

Заранее прошу понять и простить и сильно не пинать, поскольку Вы и сами уже должно быть догадались, что перед вами сильно "чайник".

Заранее всем спасибо.

Содержание
Сообщения в этом обсуждении
"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Renat , 21-Окт-13 09:40 
Я не уведел у вас правил ната. Выложете show nat

>[оверквотинг удален]
> ...
> dhcpd address 10.10.0.2-10.10.0.33 uprav
> dhcpd enable uprav
> !
> dhcpd address 10.10.10.2-10.10.10.33 people
> dhcpd enable people
> (всё что умею)
> Заранее прошу понять и простить и сильно не пинать, поскольку Вы и
> сами уже должно быть догадались, что перед вами сильно "чайник".
> Заранее всем спасибо.

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Shikarito , 21-Окт-13 13:47 
> Я не уведел у вас правил ната. Выложете show nat

К глубочайшему сожалению за выходные было принято решения просто напросто залить более старую прошивку, к которой уже есть более или менее подходящий конфиг, однако получилось "из огня да в полымя". Теперь инет не доходит даже до порта 0/0 ... вот конфиг
: Saved
:
ASA Version 7.2(4)
!
hostname ciscoasa
domain-name local.local
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name local.local
access-list 101 extended permit ip any any
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd enable inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:567991a7015127135c8f2a8c28a582d8
: end

Шлюз всё тот же 192.168.5.1 ... голова уже окончательно не соглашается сотрудничать. Помогите, пожалуйста, люди добрые.
P.S.:
вот sh nat:

NAT policies on Interface inside:
  match ip inside 192.168.1.0 255.255.255.0 outside any
    dynamic translation to pool 1 (192.168.5.10 [Interface PAT])
    translate_hits = 5, untranslate_hits = 0
  match ip inside 192.168.1.0 255.255.255.0 inside any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0
  match ip inside 192.168.1.0 255.255.255.0 _internal_loopback any
    dynamic translation to pool 1 (No matching global)
    translate_hits = 0, untranslate_hits = 0

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Renat , 21-Окт-13 14:59 
>[оверквотинг удален]
> NAT policies on Interface inside:
>   match ip inside 192.168.1.0 255.255.255.0 outside any
>     dynamic translation to pool 1 (192.168.5.10 [Interface PAT])
>     translate_hits = 5, untranslate_hits = 0
>   match ip inside 192.168.1.0 255.255.255.0 inside any
>     dynamic translation to pool 1 (No matching global)
>     translate_hits = 0, untranslate_hits = 0
>   match ip inside 192.168.1.0 255.255.255.0 _internal_loopback any
>     dynamic translation to pool 1 (No matching global)
>     translate_hits = 0, untranslate_hits = 0

Ну Вы перебрали
Почему access-group 101 in interface outside привязан к outside?

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Renat , 21-Окт-13 15:06 

Почему access-group 101 in interface outside привязан к outside?
Это первое второе у вас внутреняя сеть VLAN 1 не привязн к интерфейсу второй привязан
:
interface Ethernet0/0
switchport access vlan 2

а первый vlan нет

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено Shikarito , 22-Окт-13 09:57 
> Ну Вы перебрали
> Почему access-group 101 in interface outside привязан к outside?

Честно говоря ... ничего не понял.
Если не трудно, то объясните на пальцах (желательно цитируя конкретные строки конфига) где косяк и как нме это исправить (опять же желательно используя конкретные команды).

А по поводу не присвоенного Vlan 1 - присвоил отдельно 0/1 порт к 1 влану - так и осталось. Порты, у которых не подписан Vlan (на сколько я понимаю) автоматически присваивается к vlan 1.
Вот что выдаёт команда Show swit vlan:
ciscoasa(config)# sh sw vlan
VLAN Name                             Status    Ports
---- -------------------------------- --------- -----------------------------
1    inside                           down      Et0/1, Et0/2, Et0/3, Et0/4
                                                Et0/5, Et0/6, Et0/7
2    outside                          down      Et0/0

И они "down" потому что к ним сейчас ничего не подключено. Видать дело не в этом.

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено tuxgood , 22-Окт-13 11:11 
>[оверквотинг удален]
> ...
> dhcpd address 10.10.0.2-10.10.0.33 uprav
> dhcpd enable uprav
> !
> dhcpd address 10.10.10.2-10.10.10.33 people
> dhcpd enable people
> (всё что умею)
> Заранее прошу понять и простить и сильно не пинать, поскольку Вы и
> сами уже должно быть догадались, что перед вами сильно "чайник".
> Заранее всем спасибо.

Дааа,  в общем ставте IOS 8.4. Для вашей задачи вполне хватит темболее IOS 9.1 использует больше памяти а на asa 5505 её всго 512MB. Я так понимаю, что Ваша задача просто занатить подсеть?

> В сети не хватает ip адресов на все компы, приняли решение, что
> ASA Сможет нам помочь.

Улыбнуло, хотя вполне можно было обойтись и без asa просто поменяв маску сети, ну да ладно.

В вашем случае это должно выглядеть примерно так:
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 1
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.5.10 255.255.255.0
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!

Далее создаём object network NAME и натим например:

asa#configure terminal
asa(config)# object network test
asa(config-network-object)# subnet 192.168.1.0 255.255.255.0
asa(config-network-object)# nat (inside,outside) dynamic interface
asa(config-network-object)# exit
прописываем route
и если нужно создаём access-list Листы.

"Настройка Cisco asa 5505 ver 9.1(3)"
Отправлено root0 , 06-Ноя-13 15:58 
Вообще если не имеете вообще никакого понятия в настройке ASA в CMD чего вообще туда лезть - зайдите через ASDM - запустите мастер настройки и все заработает :)