ASA5505 Iniciante. Configurando Outside / Inside / and DMZ como Rede de Convidados

1

Eu preciso de uma pequena ajuda para desenvolver uma configuração para o nosso ASA5505. Eu sou um MCSA / MCITPAS mas não tenho muita experiência prática em cisco.

Aqui é o que eu preciso de ajuda, atualmente temos um PIX como nosso gateway de borda e, bem, é antiquado e tem apenas uma licença de 50 usuários, o que significa que eu estou constantemente limpando o host local durante o dia enquanto as pessoas reclamam . Descobri que a última pessoa de TI comprou um par de ASA5505 e eles estavam sentados na parte de trás de um armário.

Até agora eu dupliquei a configuração do PIX para o ASA, mas achei melhor ir além e remover outro roteador Cisco antigo usado apenas para uma rede guest. Eu sei que o ASA pode fazer os dois trabalhos.

Então, vou colar um cenário que escrevi com os IPs reais alterados para proteger os inocentes.

...

Rede externa: 1.2.3.10 255.255.255.248 (temos um / 29)
Rede interna: 10.10.36.0 255.255.252.0
Rede DMZ: 192.168.15.0 255.255.255.0

Rede externa em e0 / 0
Rede DMZ em e0 / 1
Rede Interna em e0 / 2-7

A rede DMZ tem o DHCPD ativado.
O pool de DHCPZ de DMZ é 192.168.15.50-192.168.15.250
Rede DMZ precisa ser capaz de ver o DNS na rede interna em 10.10.37.11 e 10.10.37.12
Rede DMZ precisa acessar o webmail na rede interna em 10.10.37.15
A DMZ Network precisa acessar o site de negócios na rede interna em 10.10.37.17
A DMZ Network precisa ser capaz de acessar a rede externa (acesso à internet).

A rede interna não tem DHCPD. (dhcp é tratado pelo controlador de domínio)
Rede interna precisa ser capaz de ver qualquer coisa na rede DMZ.
O Inside Network precisa ser capaz de acessar a rede externa (acesso à internet).

Já existem algumas listas de acesso e alguns mapeamentos estáticos de NAT já existentes.

Mapeia os IPs externos de nosso ISP para nossos IPs de servidor internos

 static (inside,outside) 1.2.3.11 10.10.37.15 netmask 255.255.255.255
 static (inside,outside) 1.2.3.12 10.10.37.17 netmask 255.255.255.255
 static (inside,outside) 1.2.3.13 10.10.37.20 netmask 255.255.255.255

Permite acesso ao nosso servidor Web / Mailserver / VPN pelo lado de fora.

 access-list 108 permit tcp any host 1.2.3.11 eq https
 access-list 108 permit tcp any host 1.2.3.11 eq smtp
 access-list 108 permit tcp any host 1.2.3.11 eq 993
 access-list 108 permit tcp any host 1.2.3.11 eq 465
 access-list 108 permit tcp any host 1.2.3.12 eq www
 access-list 108 permit tcp any host 1.2.3.12 eq https
 access-list 108 permit tcp any host 1.2.3.13 eq pptp

Aqui está todo o NAT e as coisas que eu tenho até agora.

 global (outside) 1 interface
 global (outside) 2 1.2.3.11-1.2.3.14 netmask 255.255.255.248
 nat (inside) 1 0.0.0.0 0.0.0.0
 nat (dmz) 1 0.0.0.0 0.0.0.0

 route outside 0.0.0.0 0.0.0.0 1.2.3.9 1
    
por GriffJ 06.12.2012 / 22:30

1 resposta

0

você não menciona a versão que está executando, mas a julgar pelos seus comandos NAT, é 8.2 ou inferior. Eu tenho algumas configurações de exemplo que devem fazer o DHCP funcionar na DMZ e acessar da DMZ para o seu DNS da LAN, sites internos e acesso à Internet. Você provavelmente pode usá-lo como um guia para adicionar mais, se necessário. Você não precisará alterar o roteamento, pois todas são redes diretamente conectadas.

Isso deve ser tudo que você precisa para a configuração do DHCP

dhcpd dns 10.10.37.11 10.10.37.12
dhcpd domain example.com
dhcpd address 192.168.15.50-192.168.15.250 DMZ
dhcpd enable DMZ

Uma lista de acessos permitindo o tráfego que chega na interface DMZ. incluindo o seu tráfego DNS para a LAN

access-list DMZ-Access_in extended permit UDP any host 192.168.15.50 eq 53
access-list DMZ-Access_in extended permit UDP any host 192.168.15.250 eq 53
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 80
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 80
access-list DMZ-Access_in extended permit TCP any any eq 80
access-list DMZ-Access_in extended permit TCP any any eq 443

Aplique a lista de acesso à interface DMZ.

access-group DMZ-Access_in in interface DMZ

Verifique também se você tem uma licença de segurança mais como no 5505 a DMZ é restrita sem

Show version

Editar:

Para responder às suas perguntas: com a licença básica, você não poderá fazer o que quiser. O dmz restrito significa que você tem que escolher um vlan que o dmz não pode falar. Pode ser o Lan ou o exterior.

Sim, o lado de fora do lado de dentro e o dmz contariam como três vlans, o 5505 funciona como um switch de camada 3 com vlans sendo aplicadas às portas de switch. Todas as outras asa usam as portas roteadas da camada 3, onde você pode dividi-las em subinterfaces e conectar troncos a elas.

Sec plus custa um pouco, mas vale a pena passar de um pix para asa. A asa é muito melhor e tem um bom gui que lhe permitirá fazer alterações facilmente.

    
por 07.12.2012 / 16:54