Алексей здравствуйте !!Спасибо за Ваши уроки.Так же был приятно удивлен, прочитав Вашу биографию , а именно ВУЗ который вы закончили КВИРТУ ПВО , где учились мои братья ,а может даже вы однокурсники))я сам закончил КВИУЗ на Печерске.
NICK, Спаибо! Классно! Я заканчивал 1-й факультет, АСУ в 1986-м. Практически все, что изучал в КВИРТУ ПВО пригодилось в жизни. Будь то 5-километровые марш-броски в Бабьем Яру с полной выкладкой, шинелью и калашом за плечами, парой рожкок и саперной лопаткой на поясе. И сейчас еще в сосотянити таскать 20кг. рюкзак, путешествую по той же Индии. И все остальное, начиная от азов радио-электроники и способности свободно мыслить в двоичнои и 16-ричном исчислении :) Особенно когда на боевом дежурстве надо было срочно "протолкнуть" зависшую подпрограмму обсчитывающую воздушную обствновку или найти с осцилографом и схемами вышедший из строя блок. В противном случае, будут подняты истебители и одному Богу известно, чем это может закончиться. Рад встретиться с коллегой на просторах сети! Даже не знаю, остались ли еще в наши дни ВУЗы такого уровня и класса.....
здравствуйте! у меня есть вопрос. asa имеет stateful packet inspect. значит если мы создаём rule(acl), для разрешения трафика из внутри в вне( например http), то обратный трафик будет автоматически проходит ( несмотря на acl). ну почему это правило не включает протокол icmp.зон inside security-level 100, зон outside security-level 0, значит трафик icmp запрос всегда разрешенный из внутри через asa в outside, но почему ответный трафик не разрешенный как протокол http...объясните! пожалуйста. ранее спасибо вам
Коллега, здравствуйте! Общее правило - трафик из зоны с более высоким уровнем (например, 100) в зону с меньшим уровнем (например, 0) по умолчанию разрешен и ASA следит за состоянием таких сессий. Никакие ACL не нужны для этого. Исключение - протокол ICMP, по умолчанию его инспекция выключена (это может зависеть от версии кода ASA). Следовательно, ping из внутренней сети во внешние ходить не будет. Решается это 2-мя способами. Можно либо включить инспекцию ICMP, либо открыть ICMP echo-reply в ACL на внешнем интерфейсе. Примеры: policy-map global_policy class inspection_default inspect icmp inspect icmp error или access-list OUTSIDE-IN extended permit icmp any4 any4 access-group OUTSIDE-IN in interface Outside
Алексей здравствуйте! Подскажите пожалуйста вариант настройки AS-ы,когда нужно создать маршрутизацию между различными Vlan, по маршрутизаторам понятно , а вот с ASA очень интересно
NICK, Здравствуйте! Отличия от маршрутизаторов тут небольшие. Если используется статика, то для каждого VLAN-а на клиентах указыватся в качестве шлюза IP интерфейса/саб интерфейса ASA для этого VLAN-а. Единственная тонкоть - если интерфейсы / саб интерфейсы ASA имеют одинакковый security-level, то для хождения трафика между ними надо добавить команду same-security-traffic permit inter-interface. Если нужны динамические протоколы маршрутизации, то тут также все стандартно, включам нужныей протокол и указываем участвующие сети / подсети. Вот пример настройки с саб интерфейсами на ASA и транком до коммутатора и статической маршрутизацией. interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.10 vlan 10 nameif vlan_10 security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.20 vlan 20 nameif vlan_20 security-level 100 ip address 192.168.2.1 255.255.255.0 same-security-traffic permit inter-interface Этого достаточно чтобы пакеты начали ходить между VLAN-ами 10 и 20
ASA 5505 Version 9.2(4)18. nameif - доступна только из под "int vlan*". На картинке 11:18 из под "int GigabitEthernet0/0" nameif - такой команды нет! Почему?
Разобрался: "The ASA 5505 does not support configuration of IP's on the physical interfaces. You need to create SVI's and them configure your interfaces as switchports with the correct access vlan."
Коллега, это архитектурная особенность именно этой младшей модели, ASA 5505. На других такого нет и nameif настраивается на физических интерфейсах. Особенности ASA 5505 разбираются в моем видео курсе learncisco.ru/video/asa-vol-1.html
Коллега, если Вы пингуете внешний интерфейс ASA из внутренней сети, то да, пинг не должен идти. Это нормальное поведение ASA. Тут не как на маршрутизаторе. Но если пинг не проходит до внутреннего интерфейса, то надо смотреть коммутатор, vlan-ы. Возможно ASA и PC попали в разные vlan-ы.
Здорово, спасибо! На новых ASA типа 5516-х, вроде появилась какая-то новая фича firepower.. Подскажите пожалуйста, планируется обзор и настройка VPNов на ASA ?
Родион, спаибо. Да, на новой линейке ASA с сервисами FirePOWER появился и новый функционал, значительно расширяющий традицонные возможность ASA. Если модуль FirePOWER был проинициализирован, то он появится и в ASDM. И да, в следующем видео буlет рассмотрен AnyConnect VPN и удаленный доступ.
А если мне нужно подключиться к интернету по pptp, где ip выдается автоматически и авторизуется по логину\паролю, то каким образом это сделать? если возможно вообще (asa 5505 series, на работе такая стоит и инет идет по статическому ip, а резерный канал идет через adsl по ppoe)
Увы, бОлбшая часть этой информации давно устарела, актуальность 15 -20%. Но для старта возможно и пойдет. EVE-NG - это не просто ребрендинг, а действительно совсем новый продукт, с новой архитектурой и возможностями, каких и в помине не было в UNetLab.
Добрый день Алексей, у меня просьба описать как возможно подключение ASA 5510 к Cisco Access_Server 2509? В сети на удивление не смог найти ничего путного. Со своего компа я могу через Access_Server через консольные порта на устройствах заходить в свои раутеры и свитчи, но с ASA исключение! Потратил уже пару недель, а воз и ныне там. Без спеца не получается. У меня домашняя сеть и ASA подключена к WiFi router, который раздаёт 192.168.2.1/24 внутренние адреса. ASA с внешним интерфейсом 192.168.2.254/24... И ещё - когда подключаюсь через порт Management то соединяюсь через ASDM.Возможно ли подобное соединение через консольный порт или всегда нужна подобная дубляция? Благодарю заранее, Сергей
Сергей, добрый день! Консольный порт ASA, в общем то, ничем не отличается от аналогичных на маршрутизаторах и коммутаторах Cisco. Разве что на ASA нельзя менять его параметры. Они фиксированы: скорость 9600, 8 бит, один стоповый, без паритета. Отличаться может только Flow Control, на ASA он аппаратный (hardware). Вот детальный пример настройки Cisco 2509, 2511 как Access Server: www.cisco.com/c/en/us/support/docs/dial-access/asynchronous-connections/5466-comm-server.html
Спасибо. Кратко и по делу! Без лишних бла-бла-бла.
Спасибо! Стараюсь ценить Ваше время.
Спасибо большое за грамотную подачу материала, продолжайте нас радовать своими уроками.
Спасибо! Обязательно будут дальнейшие выпуски, причем в самое ближайшее время!
Круто! Чувствуется подход, конфигурим, проверяем конфиг, проверяем сервис. А не так, чёт настроили, не пингуется и давай искать причину)))
Отлично! Очень быстро разобрался благодаря Вам, дальше будет проще. Спасибо
Alexey, очень рад, что смог чем то помочь! Спасибо за отзыв!
Алексей здравствуйте !!Спасибо за Ваши уроки.Так же был приятно удивлен, прочитав Вашу биографию , а именно ВУЗ который вы закончили КВИРТУ ПВО , где учились мои братья ,а может даже вы однокурсники))я сам закончил КВИУЗ на Печерске.
NICK, Спаибо! Классно! Я заканчивал 1-й факультет, АСУ в 1986-м. Практически все, что изучал в КВИРТУ ПВО пригодилось в жизни. Будь то 5-километровые марш-броски в Бабьем Яру с полной выкладкой, шинелью и калашом за плечами, парой рожкок и саперной лопаткой на поясе. И сейчас еще в сосотянити таскать 20кг. рюкзак, путешествую по той же Индии. И все остальное, начиная от азов радио-электроники и способности свободно мыслить в двоичнои и 16-ричном исчислении :) Особенно когда на боевом дежурстве надо было срочно "протолкнуть" зависшую подпрограмму обсчитывающую воздушную обствновку или найти с осцилографом и схемами вышедший из строя блок. В противном случае, будут подняты истебители и одному Богу известно, чем это может закончиться. Рад встретиться с коллегой на просторах сети! Даже не знаю, остались ли еще в наши дни ВУЗы такого уровня и класса.....
ура , новые уроки для админов )
Спасибо
Здравствуйте.
Мне посоветовали данный аппарат. И вот появился вопрос: Я смогу на нём поднять VPN по L2TP соединение?
здравствуйте! у меня есть вопрос. asa имеет stateful packet inspect. значит если мы создаём rule(acl), для разрешения трафика из внутри в вне( например http), то обратный трафик будет автоматически проходит ( несмотря на acl). ну почему это правило не включает протокол icmp.зон inside security-level 100, зон outside security-level 0, значит трафик icmp запрос всегда разрешенный из внутри через asa в outside, но почему ответный трафик не разрешенный как протокол http...объясните! пожалуйста. ранее спасибо вам
Коллега, здравствуйте!
Общее правило - трафик из зоны с более высоким уровнем (например, 100) в зону с меньшим уровнем (например, 0) по умолчанию разрешен и ASA следит за состоянием таких сессий. Никакие ACL не нужны для этого.
Исключение - протокол ICMP, по умолчанию его инспекция выключена (это может зависеть от версии кода ASA).
Следовательно, ping из внутренней сети во внешние ходить не будет.
Решается это 2-мя способами. Можно либо включить инспекцию ICMP, либо открыть ICMP echo-reply в ACL на внешнем интерфейсе.
Примеры:
policy-map global_policy
class inspection_default
inspect icmp
inspect icmp error
или
access-list OUTSIDE-IN extended permit icmp any4 any4
access-group OUTSIDE-IN in interface Outside
Подскажите что за среда эмуляции использовалась?
Это лаборатория на базе EVE-NG (eve-ng.org)
Алексей здравствуйте! Подскажите пожалуйста вариант настройки AS-ы,когда нужно создать маршрутизацию между различными Vlan, по маршрутизаторам понятно , а вот с ASA очень интересно
NICK, Здравствуйте! Отличия от маршрутизаторов тут небольшие. Если используется статика, то для каждого VLAN-а на клиентах указыватся в качестве шлюза IP интерфейса/саб интерфейса ASA для этого VLAN-а. Единственная тонкоть - если интерфейсы / саб интерфейсы ASA имеют одинакковый security-level, то для хождения трафика между ними надо добавить команду same-security-traffic permit inter-interface.
Если нужны динамические протоколы маршрутизации, то тут также все стандартно, включам нужныей протокол и указываем участвующие сети / подсети.
Вот пример настройки с саб интерфейсами на ASA и транком до коммутатора и статической маршрутизацией.
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1.10
vlan 10
nameif vlan_10
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1.20
vlan 20
nameif vlan_20
security-level 100
ip address 192.168.2.1 255.255.255.0
same-security-traffic permit inter-interface
Этого достаточно чтобы пакеты начали ходить между VLAN-ами 10 и 20
ОГРОМНЕЙШЕЕ ВАМ СПАСИБО!!!!!
ASA 5505 Version 9.2(4)18. nameif - доступна только из под "int vlan*". На картинке 11:18 из под "int GigabitEthernet0/0" nameif - такой команды нет! Почему?
Разобрался: "The ASA 5505 does not support configuration of IP's on the physical interfaces. You need to create SVI's and them configure your interfaces as switchports with the correct access vlan."
Коллега, это архитектурная особенность именно этой младшей модели, ASA 5505. На других такого нет и nameif настраивается на физических интерфейсах. Особенности ASA 5505 разбираются в моем видео курсе learncisco.ru/video/asa-vol-1.html
Почему-то не идет пинг от компьютеров до ASA. В чем может быть проблема ?
Коллега, если Вы пингуете внешний интерфейс ASA из внутренней сети, то да, пинг не должен идти. Это нормальное поведение ASA. Тут не как на маршрутизаторе. Но если пинг не проходит до внутреннего интерфейса, то надо смотреть коммутатор, vlan-ы. Возможно ASA и PC попали в разные vlan-ы.
Здорово, спасибо!
На новых ASA типа 5516-х, вроде появилась какая-то новая фича firepower..
Подскажите пожалуйста, планируется обзор и настройка VPNов на ASA ?
Родион, спаибо. Да, на новой линейке ASA с сервисами FirePOWER появился и новый функционал, значительно расширяющий традицонные возможность ASA. Если модуль FirePOWER был проинициализирован, то он появится и в ASDM. И да, в следующем видео буlет рассмотрен AnyConnect VPN и удаленный доступ.
А если мне нужно подключиться к интернету по pptp, где ip выдается автоматически и авторизуется по логину\паролю, то каким образом это сделать? если возможно вообще (asa 5505 series, на работе такая стоит и инет идет по статическому ip, а резерный канал идет через adsl по ppoe)
На Cisco ASA поддерживаются только такие медоты получения IP ареса на интерфейсах, как pppoe, dhcp с статически. PPTP клиента там нет.
жаль, значит придется брать статику у провайдера, спасибо)
К сожалению информации по ссылке касаемо установки и настройке EVE-NG не нашел
Курс еще в разработке, будет готов в начале 2018 года.
Спасибо за ответ! Буду ждать курс и приобрету с большим удовольствием)
ruclips.net/video/idL7LG82McY/видео.html по моему тут Вы найдете, то что Вам нужно
P.S.раньше EVE-NG назывался UnetLab
спасибо
Увы, бОлбшая часть этой информации давно устарела, актуальность 15 -20%. Но для старта возможно и пойдет. EVE-NG - это не просто ребрендинг, а действительно совсем новый продукт, с новой архитектурой и возможностями, каких и в помине не было в UNetLab.
какой login passw на win10?
Добрый день Алексей,
у меня просьба описать как возможно подключение ASA 5510 к Cisco Access_Server 2509? В сети на удивление не смог найти ничего путного. Со своего компа я могу через Access_Server через консольные порта на устройствах заходить в свои раутеры и свитчи, но с ASA исключение! Потратил уже пару недель, а воз и ныне там. Без спеца не получается. У меня домашняя сеть и ASA подключена к WiFi router, который раздаёт 192.168.2.1/24 внутренние адреса. ASA с внешним интерфейсом 192.168.2.254/24...
И ещё - когда подключаюсь через порт Management то соединяюсь через ASDM.Возможно ли подобное соединение через консольный порт или всегда нужна подобная дубляция?
Благодарю заранее,
Сергей
Сергей, добрый день!
Консольный порт ASA, в общем то, ничем не отличается от аналогичных на маршрутизаторах и коммутаторах Cisco. Разве что на ASA нельзя менять его параметры. Они фиксированы: скорость 9600, 8 бит, один стоповый, без паритета. Отличаться может только Flow Control, на ASA он аппаратный (hardware).
Вот детальный пример настройки Cisco 2509, 2511 как Access Server: www.cisco.com/c/en/us/support/docs/dial-access/asynchronous-connections/5466-comm-server.html
Можно ли настроить между двумя asa vpn?
Михаил, конечно можно. И делается это достаточно просто. На самой асе даже есть подсказка и все необходимые шаги.
Михаил, конечно можно. И делается это достаточно просто. На самой асе даже есть подсказка и все необходимые шаги.