Включим графический интерфейс на Cisco ASA/PIX для адреса в локальной сети. Настройки локального интерфейса на Cisco ASA/PIX у нас такие:

interface ethernet1
nameif inside
ip address 192.168.1.1 255.255.255.0

Заливаем на флешку ASDM и включаем http server:

asdm image flash:/asdm.bin
http server enable

Читать дальше →

В статье описывается как построить корпоративную сеть передачи данных на технологии DMVPN по интернет каналам с отказоустойчивым решением в центре на базе оборудования Cisco. На каждом канале в центре установлен сетевой экран и машрутизатор, а удаленные маршрутизаторы соединяются на оба канала и используют второй в качестве резерва при отказе первого. При этом переключение занимает несколько секунд. Маршрутизация динамическая, протокол OSPF. В нашем случае маршрутизаторы в центре 2851, в удаленных офисах 878, 877. Конкретные модели маршрутизаторов Cisco зависят от каналов и количества удаленных точек.

Схема работы сети:


Читать дальше →

В Cisco ASA/PIX начиная с версии 7.2 (1) доступна функция отслеживания состояния канала и переключение в случае отказа первого канала на резервный.
В этом примере интерфейс Backup будет использован, когда доступ к интернету через интерфейс outside не доступен.
Читать дальше →

Наткнулся в интернете на программу для анализа конфигурации Cisco PIX/ASA с точки зрения безопастности — Flint. Flint вычисляет действие всех правил конфигурации, а затем выявляет проблемы. Программа выдает табличку с проблемными access-list и протоколами в виде таблички, подскажет где доступа слишком много и его желательно прикрыть. Сама может почистить конфигурацию от правил, которые не действуют совсем.
Программа распространяется по GPL лицензии, то есть бесплатно…
Пара скриншотов:


Читать дальше →

На Cisco PIX/ASA есть мощный инструмент для захвата и анализа трафика — capture. Рассмотрим основные возможности данного инструмента.

В примере будет использоваться следующая топология:


Весь трафик на хост fwhost (172.16.1.2) будет захвачен для дальнейшего допроса анализа, на PC (10.0.1.12) будет nat трансляция при обращении к 172.16.1.20, который находится в DMZ.

Читать дальше →

Важно понимать, что конфиг от PIX не подходит к ASA потому-что они разные. Чтобы сделать одну вещь на PIX требуется другая команда на ASA. ASA использует более «аля IOS» конфигурации в отличии от PIX.
Вот лишь некоторые из различий между ними:
— у ASA другое железо и другие названия интерфейсов
— ASA использует суб интерфейсы, как Cisco IOS
— PIX использует Fixup команды для контроля приложений, а ASA policy maps.
— в ASA больше используются access-list.
Есть два способа перейти на новую платформу — вручную или с помощью утилиты преобразующей конфигурацию в новый формат. Вы можете выполнить преобразование вручную, если Вы хотите более детальный контроль, но Cisco предлагает утилиту PIX to ASA Migration Tool, которая может выполнить это автоматически. Пример работы программы:


Читать дальше →

Первая часть темы про проброс портов была о решении задачи в Microsoft Windows 2003 Server. Теперь рассмотрим как сделать тоже самое на оборудовании Cisco.

Задачей будет настроить трансляцию с внешних адресов 200.100.50.56, 200.100.50.57 на адреса 192.168.1.1 — ftp сервис, 192.168.1.2 — веб сервис, 172.18.9.202 — все порты с адреса 200.100.50.57.

Схема подключения наших серверов:

Читать дальше →

Наша задача настроить Cisco PIX 515 для типовых задач небольшой офисной сети. В примере будут использоваться следующие настройки: локальная сеть 192.168.1.0 с маской 255.255.255.0, интернет соединение с выделенной подсетью на 8 внешних адресов 200.100.50.56 с маской 255.255.255.248, демилитаризированная зона 172.18.9.1 с маской 255.255.255.0. Демилитаризированная зона это отдельная сеть не связанная с локальной и используемая для публикации внешних ресурсов в интернете, например для www сервера.Так же в нашем примере будет дополнительная сеть связанная с нашей локальной сетью через маршрутизатор.
Читать дальше →