Sette opp Cisco ASA 5510 brannmur, del 2

I en del av ASA-brannmur-serien min gikk jeg igjennom den første oppdateringen og forberedelsen på grensesnitt og ruter. Jeg vet ikke om deg, men jeg er ganske lat, så min første prioritet er å gi tilgang til nettverksenheter hvor som helst på nettverket. Jeg skal raskt gjennomføre konfigurering av ledertilgang og deretter gjennomføre en klynge med to ASA-er.

Første ting først ... la oss få ledelsesadgangen til å gå. Klikk på konfigurasjonsknappen i øverste venstre hjørne av ASDM og klikk på Enhetsadministrasjon-knappen i nedre venstre hjørne. Utvid ledelsestilgang i Device Management-treet. Administrasjonsgrensesnittet vil sannsynligvis allerede være der, da det er det du har brukt for å få tilgang til ASDM mens du var direkte tilkoblet via en nettverkskabel. Nå som vi har konfigurerte grensesnitt og ruter, kan vi imidlertid åpne dette for nettverket. Forsikre deg om at du bare åpner det for nettverk som er absolutt nødvendig. Som eksempel vil jeg bruke IT-undernettet vi konfigurerte sist i 192.168.12.0-nettverket.

1. Klikk på Legg til

2. Klikk på ASDM / HTTPS for å gi tilgang til ASDM GUI.

* Merk: du kan også bruke Telnet eller SSH hvis du foretrekker kommandolinjen. Jeg anbefaler på det sterkeste at du ikke bruker Telnet, siden det kommuniserer ved hjelp av ren tekst, noe som betyr at noen som napper i nettverket ditt kan avskjære kommunikasjonen og kunne se brukernavn, passord og konfigurasjonsinnstillinger.

3. I feltet IP-adresse skriver du 192.168.12.0 for å gi tilgang til det nettverket.

4. I Mask-feltet skriver du 255.255.255.0.

* Du kan begrense dette enda mer hvis du bruker statiske IP-adresser. Hvis datamaskinen din for eksempel har en statisk IP på 192.168.12.5, bruker du den som din IP-adresse og bruker 255.255.255.255 som din maske.

Figur A viser den resulterende dialogboksen.

Figur A

5. Klikk på OK og Bruk på bunnen av siden. Du kan også klikke på Lagre for å sikre at brannmuren din lagrer denne konfigurasjonen og bruker den neste gang du legger inn på nytt.

Du skal nå kunne gå tilbake til skrivebordet ditt og få tilgang til ASDM (eller kommandolinjen) fra datamaskinen din i 192.168.12.0-nettverket. Min neste bekymring er å sette opp Active / Standby-klyngen, så jeg ikke har ett poeng med feil.

For å sette opp klyngen, må du sørge for at alle passende nettverkskabler er koblet til de riktige VLAN-ene på bryteren. I oppsettet mitt har jeg både administrasjonsgrensesnitt koblet til en administrasjons-VLAN på lag 3-bryteren, en nettverkskabel som går direkte fra den ene enheten til den andre, og de indre og ytre grensesnittene koblet til de aktuelle VLAN-ene på lag 3-bryteren. Følg disse trinnene:

1. På den aktive enheten klikker du på Konfigurasjon-knappen og deretter Enhetsadministrasjon-knappen.

2. Nå utvid høy tilgjengelighet og klikk på Failover

3. I Setup-fanen setter du et hak ved siden av Enable Failover og Use 32 hexadecimal character key (ellers vil kommunikasjon mellom de to enhetene foregå i klartekst)

4. Angi en delt nøkkel du velger

5. Under LAN failover velger du grensesnittet du bruker til failover (grensesnittet som direkte koblet til den andre ASA)

6. Velg et logisk navn (eks: failover)

7. Velg IP-en til den aktive enheten, som kan være vilkårlig. Hvis du bruker 192.168.xx i den vanlige nettverkskonfigurasjonen, velger du kanskje en 10.xxx IP-adresse.

8. Velg IP-en til Standby-enheten. Hvis du for eksempel brukte 10.10.10.2 for din aktive IP, bruk 10.10.10.3.

9. Velg subnettmaske (som ville være 255.255.255.0 i mitt eksempel, noe som betyr at de tre første oktettene må matche).

10. Velg hovedrollen for denne aktive enheten.

Figur B viser den resulterende dialogboksen.

Figur B

11. Klikk Bruk, og den skal automatisk konfigurere failover-konfigurasjonen på begge enhetene.

Hvis du ser på fronten av ASA-ene vil LEDene indikere om failover er konfigurert. Lysdioden under "Aktiv" vil være grønn på den aktive enheten (som er den foretrukne primæren akkurat nå) og gult / oransje under "Aktiv" i ventemodus. Du kan teste om failover er riktig konfigurert ved å trekke nettverkskabelen på den aktive enheten fra innsiden. Hvis du ser på fronten, skal Aktiv LED nå være grønn på det som var Standby-enheten. Du bør fortsatt kunne være i stand til å koble deg til ASDM fra nettverket, selv om du kanskje trenger å oppdatere den eller logge inn på nytt hvis du allerede hadde det. Du vil også se dette gjenspeiles i Device Dashboard under Failover Status på ASDM. Se figur C.

Figur C

Etter del 1 og 2 har vi nå tilgang til enheten over nettverket og trenger ikke lenger å bekymre oss for et eneste feil punkt. I de neste installasjonene av disse seriene vil jeg gå igjennom å sette opp det ytre grensesnittet og konfigurere ASAene til å fungere med Active Directory.

© Copyright 2021 | pepebotifarra.com