两个站点 A 和 B 上的 Cisco ASA 5520 配置

两个站点 A 和 B 上的 Cisco ASA 5520 配置

我是一家公司的网络管理员。我的公司有两个站点,A 和 B,我们通过光纤使用 ISP 提供的 4 MB 互联网。

我的 IP 是;10.1.5.x,子网掩码为 255.255.252.0

我正在使用 Cisco 路由器 2800 系列作为互联网连接边界,就在我的局域网之前,我得到了一个 Cisco ASA 5520,它位于站点 A..所有这些设备都配置正确并且运行正常,因为它们是由我们购买机器的公司配置的。

但由于我们有两个站点,因此我们还购买了另外两个 Cisco 路由器 2800 系列和一个 Cisco ASA 5520,我必须在站点 B 对其进行配置。

OBS;我在站点 A 上有大约 150 台 PC,在站点 B 上有大约 100 台 PC,全部连接到我的局域网和互联网,并位于专用域中。

我的问题是,我对 ASA 业务还很陌生,没有太多经验。

那么如何在站点 B 配置路由器和 Asa?

如何根据站点 A 配置设置配置...以便 ASA 和路由器可以相互通信?

如何配置路由协议?NAT、PAT 等,如何在它们上实现 VLAN,以便我可以隔离来自不同部门的 PC,使它们彼此不可见,也不会向其他人发送不必要的流量或广播?

以下是站点 A 上的 ASA 的 SHOW RUN 配置

ASA-FW# sh run
: Saved
:
ASA Version 7.0(8)
!
hostname ASA-FW
enable password      encrypted
passwd                encrypted
names
dns-guard
!
interface GigabitEthernet0/0
 description "Link-To-GW-Router"
 nameif outside
 security-level 0
 ip address 41.223.156.109 255.255.255.248
!
interface GigabitEthernet0/1
 description "Link-To-Local-LAN"
 nameif inside
 security-level 100
 ip address 10.1.4.1 255.255.252.0
!
interface GigabitEthernet0/2
 description "Link-To-DMZ"
 nameif dmz
 security-level 50
 ip address 172.16.16.1 255.255.255.0
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 description "Local-Management-Interface"
 no nameif
 no security-level
 ip address 192.168.192.1 255.255.255.0
!
ftp mode passive
access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.107 eq smtp
access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.106 eq www
access-list OUT-TO-DMZ extended permit icmp any any log
access-list OUT-TO-DMZ extended deny ip any any
access-list inside extended permit tcp any any eq pop3
access-list inside extended permit tcp any any eq smtp
access-list inside extended permit tcp any any eq ssh
access-list inside extended permit tcp any any eq telnet
access-list inside extended permit tcp any any eq https
access-list inside extended permit udp any any eq domain
access-list inside extended permit tcp any any eq domain
access-list inside extended permit tcp any any eq www
access-list inside extended permit ip any any
access-list inside extended permit icmp any any
access-list dmz extended permit ip any any
access-list dmz extended permit icmp any any
access-list cap extended permit ip 10.1.4.0 255.255.252.0 172.16.16.0 255.255.25
5.0
access-list cap extended permit ip 172.16.16.0 255.255.255.0 10.1.4.0 255.255.25
2.0
no pager
logging enable
logging buffer-size 5000
logging monitor warnings
logging trap warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp 41.223.156.106 www 172.16.16.80 www netmask 255.255.255
.255
static (dmz,outside) tcp 41.223.156.107 smtp 172.16.16.25 smtp netmask 255.255.2
55.255
static (inside,dmz) 10.1.0.0 10.1.16.0 netmask 255.255.252.0
access-group OUT-TO-DMZ in interface outside
access-group inside in interface inside
access-group dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 41.223.156.108 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.4.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
!
!
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:
: end
ASA-FW#

说实话,我很抱歉我的疑问看起来很简单,但我真的很担心。

所以有谁能帮我解决这个特定的问题吗?


更新:我想知道如何让两个 ASA 5520 加上路由器 2800 在网络上进行通信?请注意,两个站点已经通过光纤连接进行通信。但是另一个 Asa 5520 和路由器呢?站点到站点 IPSEC VPN 是让它们安全通信的解决方案吗?我该如何实现?配置应该是怎样的。记住,正如我所说,站点已经通过光纤连接进行通信……因此,从一栋建筑中,我可以读取和写入文件……所以我的问题是,现在我剩下另一个 Asa 5520 加上路由器 2800 来配置另一个站点。但是我该怎么做?怎么做?

答案1

您拥有的设备有很多选择。目前的主要限制似乎是您对 ASA 平台缺乏了解。如果时间有限,那么您可能应该寻求 ASA 来源的支持/咨询。如果金钱比时间更重要,那么您需要研究 ASA VPN。

一个不错的起点是 Cisco Press ASA 书籍 (ISBN 978-1-58705-819-6),其中包含设置 VPN 等内容的指南,以及概念解释。在线提供的文档也是必读内容,但要找到您真正需要的内容可能有点困难。

您可能还想升级 ASA 上的固件和 ASDM。版本 7 现在相当老旧了,在我看来,较新的 ASDM 接口要好一些。此外,如果 Site B ASA 是较新购买的,则很可能它有较新的固件。如果它们都是同一版本,您会发现生活会更轻松。

阅读文档时,必须阅读与您的固件版本相匹配的文档 - 7.0 版本和最新版本(8.4)之间的配置语法有很大不同。

答案2

这个问题留下了一些相当大的漏洞,但我希望你想要的是一个站点到站点的 IPSEC VPN - 如果你在链接的每一端都只有单个子网,那么你不必担心在 VPN 上推送路由协议,在这种情况下,Cisco 文档中的指南:

这里(用于 CLI):http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/site2sit.html

这里(针对 ASDM):http://www.cisco.com/en/US/docs/security/asa/asa70/asdm50/user/guide/asdmhelp.pdf

应该引导您完成配置步骤。

相关内容