Cisco asa, Блог на белобългарския сисадмин
полезни бележки
Архив на тагове: cisco asa
Организация на DMZ подмрежа на cisco ASA 5510 или как преминахме към Cisco ASA - част 4
Всъщност нека започнем отначало :) Тоест, като конфигурираме интерфейса:
Ниво на сигурност 99 е точно отговорно за гарантирането, че клиентите от DMZ по подразбиране не могат да достигнат до локалната мрежа (имаме ниво на защита 100). Клиентите от локалната мрежа с тази конфигурация ще имат достъп до DMZ ресурси.
Интерфейсът е конфигуриран, време е да напишете правила за достъп. За по-лесно възприемане, нека наречем списъка за достъп FROMDMZ - очевидно е, че той ще действа върху пакети, изходящи от DMZ мрежата. Въпреки забраната за достъп от мрежа с по-ниско ниво на сигурност до мрежа с по-високо, по-добре е след разрешаване на достъп до локалната мрежа на определени услуги да се посочи изрична забрана за целия трафик от DMZ към локалната мрежа.
И така, нека разрешим достъп до цялата DMZ подмрежа на пощенските сървъри и DNS сървърите в цялата локална мрежа:
След това ще забраним целия друг трафик от DMZ към локалната мрежа:
Разрешете достъп до външни DNS сървъри:
Разрешете им достъп:
При рестартиране на устройството, което в идеалния случай изобщо няма да се случи, това правило може да бъде заредено преди другите и тогава трафикът отново ще се „греши“. За съжаление, ASA не запазва реда на статичните правила. В този случай това правило трябва да бъде изтрито и добавено отново:
Патерица, но трябва да живеете с нея по някакъв начин ... В тази положителна бележка, нека да преминем към ограничението на скоростта. Нека създадем обектна група и списък за достъп:
Създаваме карта на класа и карта на политиката.
И накрая, нека приложим всичко към интерфейса.
RacoonVPN + Cisco ASA 5510 = IPSEC vpn от сайт до сайт
Поради откриване на нов офиспомислете за комуникационния канал между мрежите. Главният офис използва Cisco ASA 5510 като шлюз. самият офис е временен. Спряхме се на debian 7 :) Задачата беше проста: да осигурим пълната работа на отдалечения офис - достъп както до основната мрежа без допълнителни настройки за потребителите, така и до DMZ мрежата. При пренасочване на две мрежи има някои нюанси, които ще бъдат разгледани по-долу.
Освен това на шлюза беше необходимо да се осигури ограничение на скоростта за потребителите (така че особено алчните да не ядат всичко наведнъж) и, разбира се, защита от всичко и всички.
В мрежата има много материали за IPSEC VPN устройството. Накратко мога да припомня, че има 2 фази на установяване на връзка: защитена IKE връзка и всъщност ipsec тунел.
- Адреси в локалната мрежа - 192.168.0.0/21
- DMZ адреси - 192.168.15.0/24
- Адреси на отдалечени офиси - 192.168.30.0
И така, нека да преминем към настройките от страна на Cisco. Нека създадем обектна група за локални мрежи - по-удобно е да ги добавяте / премахвате, ако е необходимо:
Нека създадем списък за достъп, за да подчертаем трафика, от който се нуждаем:
Нека да напишем параметрите isakmp и ipsec, да създадем крипто-карта, transfrom-set и tunnel-group, да посочим предварително споделен ключ:
Не забравяйте да напишете правило за NAT 0:
Сега да преминем към debian. Нека започнем с инсталирането на необходимия софтуер.
Редактирайте /etc/racoon/racoon.conf според избраните параметри:
Нека напишем нашия предварително споделен ключ във файла /etc/racoon/psk.txt:
Има единмного важен нюанс : когато създавате тунел за 2 или повече подмрежи, само една подмрежа може да има параметъра за изискване в ipsec-tools.conf. Останалите трябва да иматединствен по рода си. В противен случай тунелът ще бъде повдигнат само за една подмрежа. Отне много време, за да разбера тази малка функция...
Рестартирайте racoon и setkey:
И, ако не са направени грешки и ochepyatok, отиваме да си починем. Ако тунелът не се издигне, започваме да сравняваме ред по ред конфигурациите на Linux и Cisco. Също така ще бъде полезно да активирате отстраняване на грешки в конфигурацията на racoon (регистриране на грешки; вместо предупреждение за журнал;) и да проверите регистрационните файлове.
Можете да проверите състоянието на тунела на cisco с командата sh ipsec sa. Трябва да видим нещо като:
Tracert чрез Cisco ASA от Windows клиент
При диагностицирането на мрежови проблеми е трудно да се надцени полезността на такава проста помощна програма като tracert (traceroute). Всички знаем, че той разчита на icmp протокола в работата си. И изглежда съвсем логично да се осигури работата на този протокол на cisco asa чрез "магията"inspect icmp. В случая с tracert обаче това не помага. За нормалното му функциониране е необходимо да се разреши навъншния интерфейс icmp от типа time-exceeded от any към any:
Едва след това ви очаква напълно работещ tracert.
Приоритетизиране на voip и skype трафик на cisco asa 5510 или как преминахме към Cisco ASA - част 3
След това създаваме списък за достъп:
Използваме този списък за достъп в класовата карта:
И class-map, от своя страна, в policy-map:
С трафика на Skype в зали за срещи можете да направите същото (да дадете приоритет на целия трафик), но в нашия случай намерихме по-елегантен вариант. В заседателните зали са инсталирани компютри с операционна система Windows и те са включени в домейна. С помощта на групови правила можете да присвоите DSCP стойности на трафика, генериран от конкретни приложения. За да направите това, трябва да създадете нова политика за QoS (компютърна конфигурация-> Настройки на Windows -> Базирано на политика QoS) в нов (или един от съществуващите) обект на групова политика и присвоете тази групова политика на OU, от което се нуждаем. В правилата за QoS трябва да зададете ненулева (например 1) DSCP стойност за TCP и UDP трафик, генериран от приложението skype.exe. След това можем да създадем class-map, за да отделим този трафик от потока:
И добавете този клас към нашата политика-карта:
И не забравяйте да приложите картата на правилата към интерфейса:
В резултат на това получаваме минималните закъснения за трафика, който ни интересува, като използваме доста прости методи.
Ограничение на интернет скоростта за потребители на Cisco ASA 5510 или как преминахме към Cisco ASA - част 2
И така, с PBR на Cisco ASA, ние някак си го разбрахме. Време е да се справим с ограничението на скоростта за потребителите. В Debian беше приложен просто и ефективно: с помощта на iptables + htb всеки имаше зададена минимална (гарантирана) и максимална скорост. Всички бяха щастливи, всички имаха достатъчно. При необходимост скоростта на конкретни потребители беше много просто увеличена или намалена.
Но тогава дойде мрачна и тромава циска. Първо, бих искал да поговоря малко за това какви методи за ограничаване на скоростта са налични в Cisco ASA.
Първият и според мен по-правилен начин е оформянето на трафика. Чарът му е, че при превишаване на разрешената скорост пакетите не се изхвърлят, а по възможност се добавят в буфер, откъдето впоследствие се изпращат до местоназначението. Това може да доведе до малки забавяния (които зависят от размера на буфера и наличието на трафик с висок приоритет), но в същото време можем да дадем приоритет на определен (например гласов) трафик и да го предадем колкото е възможно повече.бърз. Оформянето на трафика може да се приложи само към изходящите пакети.
Вторият начин е КАТ. Основната му разлика от оформянето е липсата на буфер, т.е. "Допълнителните" пакети просто се изхвърлят. Друга разлика от оформянето е, че може да се прилага както към входящи, така и към изходящи пакети. Въпреки липсата на буфер, приоритизирането на трафика е възможно и в този случай. Осъществява се благодарение на използването на LLQ (Low-latency queuing) опашка. Разликата от формирането в този случай е, че закъсненията за всеки тип трафик ще бъдат по-ниски, но възможността за загуба на пакети е много по-голяма.
По отношение на качеството на услугата би било хубаво да се използва оформяне на трафика. Но тук се крие основният проблем: ASA може да оформя трафика само за клас по подразбиране, т.е. целия трафик и дори тогава само изходящия. Всъщност този "трик" е приложен тук само за да се доближи скоростта на предаваните данни до ширината на канала - да се предава максимумът, макар и със закъснения, за да се загуби минимумът.
Помислете за конкретен пример за ограничаване на входящата скорост до 10 Mbps.
Създайте съответната класова карта:
И го приложете към LAN интерфейса:
Няколко бележки относно горната конфигурация:
Нека създадем списък за достъп за тази група:
След това приложете същата клас-карта и политика-карта, които бяха обсъдени по-горе, и запазете конфигурацията с кратка командаwr. Ако е необходимо, можете да видите статистиката на полицията:
Тази команда ще отпечата данни за ограничение на скоростта за всяка класова карта, посочена в политиката.
Това завършва простата настройка на ограничението на скоростта.