 Настройка Cisco asa 5505 ver 9.1(3),  Shikarito, 19-Окт-13, 14:46 [смотреть все]Доброго времени суток.
Прошу помощи в связи с полным провалом поиска решения в поисковых системах.
Требуется настроить Cisco asa 5505 ver. 9.1(3) таким образом:В сети не хватает ip адресов на все компы, приняли решение, что ASA Сможет нам помочь.
Прогресс встал на настройке Nat. Инет входит в АСУ через порт 0/0 но только там и остается. sh run
: Saved
:
ASA Version 9.1(3)
!
hostname ciscoasa
domain-name cisco.local
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
description router network
switchport access vlan 22
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif uprav
security-level 100
ip address 10.10.0.1 255.255.255.0
!
interface Vlan2
nameif people
security-level 0
ip address 10.10.10.1 255.255.255.0
!
interface Vlan22
nameif outside
security-level 0
ip address 192.168.5.50 255.255.255.0
!
interface Vlan999
shutdown
nameif port_not_used
security-level 0
no ip address
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name cisco.local
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu uprav 1500
mtu people 1500
mtu outside 1492
mtu port_not_used 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
...
dhcpd address 10.10.0.2-10.10.0.33 uprav
dhcpd enable uprav
!
dhcpd address 10.10.10.2-10.10.10.33 people
dhcpd enable people (всё что умею) Заранее прошу понять и простить и сильно не пинать, поскольку Вы и сами уже должно быть догадались, что перед вами сильно "чайник". Заранее всем спасибо.
|
- Настройка Cisco asa 5505 ver 9.1(3), Renat, 09:40 , 21-Окт-13 (1)
Я не уведел у вас правил ната. Выложете show nat>[оверквотинг удален]
> ...
> dhcpd address 10.10.0.2-10.10.0.33 uprav
> dhcpd enable uprav
> !
> dhcpd address 10.10.10.2-10.10.10.33 people
> dhcpd enable people
> (всё что умею)
> Заранее прошу понять и простить и сильно не пинать, поскольку Вы и
> сами уже должно быть догадались, что перед вами сильно "чайник".
> Заранее всем спасибо.
- Настройка Cisco asa 5505 ver 9.1(3), Shikarito, 13:47 , 21-Окт-13 (2)
> Я не уведел у вас правил ната. Выложете show nat К глубочайшему сожалению за выходные было принято решения просто напросто залить более старую прошивку, к которой уже есть более или менее подходящий конфиг, однако получилось "из огня да в полымя". Теперь инет не доходит даже до порта 0/0 ... вот конфиг
: Saved
:
ASA Version 7.2(4)
!
hostname ciscoasa
domain-name local.local
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name local.local
access-list 101 extended permit ip any any
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd enable inside
! !
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:567991a7015127135c8f2a8c28a582d8
: end Шлюз всё тот же 192.168.5.1 ... голова уже окончательно не соглашается сотрудничать. Помогите, пожалуйста, люди добрые.
P.S.:
вот sh nat: NAT policies on Interface inside:
match ip inside 192.168.1.0 255.255.255.0 outside any
dynamic translation to pool 1 (192.168.5.10 [Interface PAT])
translate_hits = 5, untranslate_hits = 0
match ip inside 192.168.1.0 255.255.255.0 inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside 192.168.1.0 255.255.255.0 _internal_loopback any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
- Настройка Cisco asa 5505 ver 9.1(3), Renat, 14:59 , 21-Окт-13 (3)
>[оверквотинг удален]
> NAT policies on Interface inside:
> match ip inside 192.168.1.0 255.255.255.0 outside any
> dynamic translation to pool 1 (192.168.5.10 [Interface PAT])
> translate_hits = 5, untranslate_hits = 0
> match ip inside 192.168.1.0 255.255.255.0 inside any
> dynamic translation to pool 1 (No matching global)
> translate_hits = 0, untranslate_hits = 0
> match ip inside 192.168.1.0 255.255.255.0 _internal_loopback any
> dynamic translation to pool 1 (No matching global)
> translate_hits = 0, untranslate_hits = 0 Ну Вы перебрали
Почему access-group 101 in interface outside привязан к outside?
- Настройка Cisco asa 5505 ver 9.1(3), Renat, 15:06 , 21-Окт-13 (4)
Почему access-group 101 in interface outside привязан к outside?
Это первое второе у вас внутреняя сеть VLAN 1 не привязн к интерфейсу второй привязан
:
interface Ethernet0/0
switchport access vlan 2а первый vlan нет
- Настройка Cisco asa 5505 ver 9.1(3), Shikarito, 09:57 , 22-Окт-13 (5)
> Ну Вы перебрали
> Почему access-group 101 in interface outside привязан к outside?Честно говоря ... ничего не понял.
Если не трудно, то объясните на пальцах (желательно цитируя конкретные строки конфига) где косяк и как нме это исправить (опять же желательно используя конкретные команды). А по поводу не присвоенного Vlan 1 - присвоил отдельно 0/1 порт к 1 влану - так и осталось. Порты, у которых не подписан Vlan (на сколько я понимаю) автоматически присваивается к vlan 1.
Вот что выдаёт команда Show swit vlan:
ciscoasa(config)# sh sw vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside down Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside down Et0/0 И они "down" потому что к ним сейчас ничего не подключено. Видать дело не в этом.
- Настройка Cisco asa 5505 ver 9.1(3), tuxgood, 11:11 , 22-Окт-13 (6)
>[оверквотинг удален]
> ...
> dhcpd address 10.10.0.2-10.10.0.33 uprav
> dhcpd enable uprav
> !
> dhcpd address 10.10.10.2-10.10.10.33 people
> dhcpd enable people
> (всё что умею)
> Заранее прошу понять и простить и сильно не пинать, поскольку Вы и
> сами уже должно быть догадались, что перед вами сильно "чайник".
> Заранее всем спасибо.Дааа, в общем ставте IOS 8.4. Для вашей задачи вполне хватит темболее IOS 9.1 использует больше памяти а на asa 5505 её всго 512MB. Я так понимаю, что Ваша задача просто занатить подсеть? > В сети не хватает ip адресов на все компы, приняли решение, что
> ASA Сможет нам помочь. Улыбнуло, хотя вполне можно было обойтись и без asa просто поменяв маску сети, ну да ладно. В вашем случае это должно выглядеть примерно так:
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 1
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.5.10 255.255.255.0
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
! Далее создаём object network NAME и натим например: asa#configure terminal
asa(config)# object network test
asa(config-network-object)# subnet 192.168.1.0 255.255.255.0
asa(config-network-object)# nat (inside,outside) dynamic interface
asa(config-network-object)# exit
прописываем route
и если нужно создаём access-list Листы.
- Настройка Cisco asa 5505 ver 9.1(3), root0, 15:58 , 06-Ноя-13 (7)
Вообще если не имеете вообще никакого понятия в настройке ASA в CMD чего вообще туда лезть - зайдите через ASDM - запустите мастер настройки и все заработает :)
|
Версия для распечатки
