Forskel mellem versioner af "Cisco"

Fra NørderiWiki
Skift til: Navigation, Søgning
(VPN)
(CLI)
Linje 73: Linje 73:
 
  asdm image disk0:/fileASDM.bin
 
  asdm image disk0:/fileASDM.bin
 
  witre mem
 
  witre mem
 +
// update
 +
write mem
 
Og så genstarte ASA'en.
 
Og så genstarte ASA'en.
  

Versionen fra 11. feb 2008, 14:40

Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Cisco's ASA 5505 (og sikkert også 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med.

Ændre DHCP Pool

    1. Tillad adgang fra det nye inside IP subnet i Device Access -> ASDM.
    2. Disable DHCP server.
    3. Ændre inside interface IP.
    4. Ændre PC'en til en IP i det nye subnet (DHCP virker jo ikke).
    5. Sæt DHCP server til med det nye subnet.

Åbne porte ind ad (port forward)

Serverens IP = 192.168.XXX.XXX.

Port nr. = PPPP

Laver NAT fra outside interface på port PPPP til IP 192.168.XXX.XXX: 

static (inside,outside) tcp interface PPPP 192.168.XXX.XXX PPPP netmask 255.255.255.255

Tillader alle IP'er ude fra ind på port PPPP: 

access-list outside_access_in extended permit tcp any interface outside eq PPPP

"outside_access_in" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver.

Ping og traceroute

Tillade ping ud/ind: 

access-list outside_access_in extended permit icmp any any echo-reply

Tillade traceroute ud/ind: 

access-list outside_access_in extended permit icmp any any time-exceeded

Blocker/foryder ping ude fra: 

icmp deny 0.0.0.0 0.0.0.0 outside

VPN

Todo: Få skrevet CLI conf her ind, så det er bare er og rette til med ip'er/navne og så sætte ind i ASA'en, og så køre det.

PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example

Zyxel - Cisco (hardware) VPN

Kan lade sig gøre... bare vær sikker på alle indstillinger er ens

VPN klient på samme segment som router

Dette kan kun lade sig gøre rigtigt hvis der køres med split tunneling. Eller hvad?

Bandwidth Throttling

Applying QoS Policies

Fx: 

hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside

Software updates

Hvordan man opdatere software

ASDM

Det lykkes mig ikke at opdatere ASA'en kun via ASDM'en, men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret.

CLI

Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.

Når filer er uploadet til ASA'en er det bare at køre: 

boot system disk0:/fileASA.bin
asdm image disk0:/fileASDM.bin
witre mem

// update 

write mem

Og så genstarte ASA'en.

Configuring the Application Image and ASDM Image to Boot

IDS

Configure an ASA for IDS

Links

Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides

Hentet fra "https://wiki.kvig.dk/index.php?title=Cisco&oldid=2185"