服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科ASA 5520configuration在两个站点A和B上
Intereting Posts
xinetd'连接重置对等' 如何设置客户端和服务器无关的VPN 为什么一些mac地址经常重复? PowerShell远程处理:安全软件包中没有证书可用 为什么不这个钉住棍棒? 只安装VirtualBox Headless 故障转移/冗余SSH Mysql慢速查询日志问题…? 如何查看AD中的所有用户和组而不login到DC? RDP会话超时会发生什么? 需要删除转换到2010年期间崩溃的Exchange 2003 Server Windows Server 2012 R2 Essentials升级 vmware vSphere入门 重启后无法启动apache2 在VMware主机内扩展 – 添加vCPU或虚拟机?

思科ASA 5520configuration在两个站点A和B上

我是一家公司的networkingpipe理员。 所以我的公司有两个SITE,A和B,而且我们通过光纤从我们的ISP使用4MB的互联网。

我的IP是 10.1.5.x,子网掩码为os 255.255.252.0

我正在使用Cisco路由器2800系列的互联网连接周边,就在我的LAN之前,我有一个思科ASA 5520,这是在现场A ..所有这些设备configuration正确,正常工作,因为他们从公司configuration我们在哪买了机器。

但是,由于我们有两个站点,因此我们购买了另外两台Cisco 2800系列路由器和一台Cisco ASA 5520,我必须在SITE Bconfiguration它。

OBS; 我得到了约。 站点A上有150台电脑,站点B上有100台电脑,全部连接到我的局域网和互联网,以及专用域。

我的问题是,我对ASA业务很陌生,没有太多的经验。

那么如何在B站点上configuration路由器和Asa呢?

如何configuration相应的站点Aconfiguration…以便ASA和路由器可以相互通信?

如何configuration路由协议? NAT,PAT等,我怎么能实现VLAN,所以我可以隔离来自不同部门的PC,这样他们就不会看到对方,也不会向其他人发送不必要的stream量或广播。

这是来自站点A上的ASA的SHOW RUNconfiguration 

ASA-FW# sh run : Saved : ASA Version 7.0(8) ! hostname ASA-FW enable password encrypted passwd encrypted names dns-guard ! interface GigabitEthernet0/0 description "Link-To-GW-Router" nameif outside security-level 0 ip address 41.223.156.109 255.255.255.248 ! interface GigabitEthernet0/1 description "Link-To-Local-LAN" nameif inside security-level 100 ip address 10.1.4.1 255.255.252.0 ! interface GigabitEthernet0/2 description "Link-To-DMZ" nameif dmz security-level 50 ip address 172.16.16.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 description "Local-Management-Interface" no nameif no security-level ip address 192.168.192.1 255.255.255.0 ! ftp mode passive access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.107 eq smtp access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.106 eq www access-list OUT-TO-DMZ extended permit icmp any any log access-list OUT-TO-DMZ extended deny ip any any access-list inside extended permit tcp any any eq pop3 access-list inside extended permit tcp any any eq smtp access-list inside extended permit tcp any any eq ssh access-list inside extended permit tcp any any eq telnet access-list inside extended permit tcp any any eq https access-list inside extended permit udp any any eq domain access-list inside extended permit tcp any any eq domain access-list inside extended permit tcp any any eq www access-list inside extended permit ip any any access-list inside extended permit icmp any any access-list dmz extended permit ip any any access-list dmz extended permit icmp any any access-list cap extended permit ip 10.1.4.0 255.255.252.0 172.16.16.0 255.255.25 5.0 access-list cap extended permit ip 172.16.16.0 255.255.255.0 10.1.4.0 255.255.25 2.0 no pager logging enable logging buffer-size 5000 logging monitor warnings logging trap warnings mtu outside 1500 mtu inside 1500 mtu dmz 1500 no failover asdm image disk0:/asdm-508.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (dmz,outside) tcp 41.223.156.106 www 172.16.16.80 www netmask 255.255.255 .255 static (dmz,outside) tcp 41.223.156.107 smtp 172.16.16.25 smtp netmask 255.255.2 55.255 static (inside,dmz) 10.1.0.0 10.1.16.0 netmask 255.255.252.0 access-group OUT-TO-DMZ in interface outside access-group inside in interface inside access-group dmz in interface dmz route outside 0.0.0.0 0.0.0.0 41.223.156.108 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.1.4.0 255.255.252.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 management-access inside ! ! match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum: : end ASA-FW#

如果我的查询看起来很简单,我真的很抱歉,但我真的很担心。

所以任何人都可以请,请帮我在这个特定的问题。

更新:我想知道的是我怎样才能使两台ASA 5520加上路由器2800在networking之间进行通讯? 请注意,这两个站点已通过光纤连接进行通信..但是另一台Asa 5520和路由器呢? 该网站是否为网站IPSEC VPN解决scheme让他们安全通信? 我怎么能做到这一点? 如何configuration必须像..记得,正如我所说,网站已经通过光纤连接…所以从一个build筑物,我可以读取和写在一个文件…所以我的问题是,现在我留下另一个Asa 5520加上路由器2800的其他网站进行configuration..但是,我必须做什么? 如何?

你有相当多的设备select。 现在的主要限制似乎是你不熟悉ASA平台。 如果时间有限,那么你应该从获得ASA的地方寻求支持/咨询。 如果钱比时间更重要,那么你需要研究ASA VPN。

思科出版社的ASA书籍(ISBN 978-1-58705-819-6)是一个很好的起点,该书籍除了介绍其他内容外,还介绍了如何设置VPN以及解释概念。 网上提供的文档也是必不可less的阅读材料,但要find您需要的内容可能有点困难。

您可能还需要升级ASA上的固件和ASDM。 现在版本7已经相当老了,而且最近的ASDM接口稍微好一些。 而且,如果站点B ASA是更近期的购买,那么它很可能具有更新的固件。 如果他们都在同一个版本上,你会发现生活更轻松。

阅读文档时,阅读与固件版本相匹配的文档至关重要 – 版本7.0和最新版本(8.4)之间的configuration语法完全不同。

这个问题留下了一些相当大的漏洞,但我希望你想要的是一个站点到站点IPSEC VPN – 如果你在链路的每一端只有单个子网,那么你不必担心通过VPN推送路由协议在这种情况下,思科文档中的指南:

这里(对于CLI): http : //www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/site2sit.html

(适用于ASDM): http : //www.cisco.com/en/US/docs/security/asa/asa70/asdm50/user/guide/asdmhelp.pdf

应引导您完成configuration步骤。