我是一家公司的网络管理员。我的公司有两个站点,A 和 B,我们通过光纤使用 ISP 提供的 4 MB 互联网。
我的 IP 是;10.1.5.x,子网掩码为 255.255.252.0
我正在使用 Cisco 路由器 2800 系列作为互联网连接边界,就在我的局域网之前,我得到了一个 Cisco ASA 5520,它位于站点 A..所有这些设备都配置正确并且运行正常,因为它们是由我们购买机器的公司配置的。
但由于我们有两个站点,因此我们还购买了另外两个 Cisco 路由器 2800 系列和一个 Cisco ASA 5520,我必须在站点 B 对其进行配置。
OBS;我在站点 A 上有大约 150 台 PC,在站点 B 上有大约 100 台 PC,全部连接到我的局域网和互联网,并位于专用域中。
我的问题是,我对 ASA 业务还很陌生,没有太多经验。
那么如何在站点 B 配置路由器和 Asa?
如何根据站点 A 配置设置配置...以便 ASA 和路由器可以相互通信?
如何配置路由协议?NAT、PAT 等,如何在它们上实现 VLAN,以便我可以隔离来自不同部门的 PC,使它们彼此不可见,也不会向其他人发送不必要的流量或广播?
以下是站点 A 上的 ASA 的 SHOW RUN 配置
ASA-FW# sh run
: Saved
:
ASA Version 7.0(8)
!
hostname ASA-FW
enable password encrypted
passwd encrypted
names
dns-guard
!
interface GigabitEthernet0/0
description "Link-To-GW-Router"
nameif outside
security-level 0
ip address 41.223.156.109 255.255.255.248
!
interface GigabitEthernet0/1
description "Link-To-Local-LAN"
nameif inside
security-level 100
ip address 10.1.4.1 255.255.252.0
!
interface GigabitEthernet0/2
description "Link-To-DMZ"
nameif dmz
security-level 50
ip address 172.16.16.1 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
description "Local-Management-Interface"
no nameif
no security-level
ip address 192.168.192.1 255.255.255.0
!
ftp mode passive
access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.107 eq smtp
access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.106 eq www
access-list OUT-TO-DMZ extended permit icmp any any log
access-list OUT-TO-DMZ extended deny ip any any
access-list inside extended permit tcp any any eq pop3
access-list inside extended permit tcp any any eq smtp
access-list inside extended permit tcp any any eq ssh
access-list inside extended permit tcp any any eq telnet
access-list inside extended permit tcp any any eq https
access-list inside extended permit udp any any eq domain
access-list inside extended permit tcp any any eq domain
access-list inside extended permit tcp any any eq www
access-list inside extended permit ip any any
access-list inside extended permit icmp any any
access-list dmz extended permit ip any any
access-list dmz extended permit icmp any any
access-list cap extended permit ip 10.1.4.0 255.255.252.0 172.16.16.0 255.255.25
5.0
access-list cap extended permit ip 172.16.16.0 255.255.255.0 10.1.4.0 255.255.25
2.0
no pager
logging enable
logging buffer-size 5000
logging monitor warnings
logging trap warnings
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp 41.223.156.106 www 172.16.16.80 www netmask 255.255.255
.255
static (dmz,outside) tcp 41.223.156.107 smtp 172.16.16.25 smtp netmask 255.255.2
55.255
static (inside,dmz) 10.1.0.0 10.1.16.0 netmask 255.255.252.0
access-group OUT-TO-DMZ in interface outside
access-group inside in interface inside
access-group dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 41.223.156.108 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.4.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
!
!
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:
: end
ASA-FW#
说实话,我很抱歉我的疑问看起来很简单,但我真的很担心。
所以有谁能帮我解决这个特定的问题吗?
更新:我想知道如何让两个 ASA 5520 加上路由器 2800 在网络上进行通信?请注意,两个站点已经通过光纤连接进行通信。但是另一个 Asa 5520 和路由器呢?站点到站点 IPSEC VPN 是让它们安全通信的解决方案吗?我该如何实现?配置应该是怎样的。记住,正如我所说,站点已经通过光纤连接进行通信……因此,从一栋建筑中,我可以读取和写入文件……所以我的问题是,现在我剩下另一个 Asa 5520 加上路由器 2800 来配置另一个站点。但是我该怎么做?怎么做?
答案1
您拥有的设备有很多选择。目前的主要限制似乎是您对 ASA 平台缺乏了解。如果时间有限,那么您可能应该寻求 ASA 来源的支持/咨询。如果金钱比时间更重要,那么您需要研究 ASA VPN。
一个不错的起点是 Cisco Press ASA 书籍 (ISBN 978-1-58705-819-6),其中包含设置 VPN 等内容的指南,以及概念解释。在线提供的文档也是必读内容,但要找到您真正需要的内容可能有点困难。
您可能还想升级 ASA 上的固件和 ASDM。版本 7 现在相当老旧了,在我看来,较新的 ASDM 接口要好一些。此外,如果 Site B ASA 是较新购买的,则很可能它有较新的固件。如果它们都是同一版本,您会发现生活会更轻松。
阅读文档时,必须阅读与您的固件版本相匹配的文档 - 7.0 版本和最新版本(8.4)之间的配置语法有很大不同。
答案2
这个问题留下了一些相当大的漏洞,但我希望你想要的是一个站点到站点的 IPSEC VPN - 如果你在链接的每一端都只有单个子网,那么你不必担心在 VPN 上推送路由协议,在这种情况下,Cisco 文档中的指南:
这里(用于 CLI):http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/site2sit.html
这里(针对 ASDM):http://www.cisco.com/en/US/docs/security/asa/asa70/asdm50/user/guide/asdmhelp.pdf
应该引导您完成配置步骤。