Tweet
Bài 1: ASA CƠ BẢN
1. Giới thiệu câu lệnh cơ bản:- ASA có 2 cách cấu hình: CLI và ASDM
- Ban đầu khi khởi động xong ASA, ta sẽ thấy dòng lệnh user mode là:
ciscoasa>
“ciscoasa” là tên mặc định của thiết bị ASA.
- Ta có thể dùng dấu “ ? “ để xem những từ khóa gợi ý.
- Để xem các thông tin cần thiết trên thiết bị ta dung từ khóa “ show ? “
- Muốn vào privileged mode ta dung từ khóa “enable” với password mặc định là trống.
- Để cấu hình cho thiết bị ta phải vào mode config với câu lệnh như sau:
- Lưu cấu hình tương tự như router.
- Đặt password console và enable tương tự như router.
- Có thể dùng phím “Tab” để hiện đầy đủ câu lệnh.
- Xóa cấu hình:
ciscoasa# write erase
2. Cấu hình các interface:
- Thiết bị ASA có các cổng console, cổng Ethernet và cổng management (cổng để quản lý có chức năng giống cổng console).
- Như router, thiết bị ASA muốn cấu hình ip, speed hay duplex ta đều phải vào cổng với các câu lệnh giống với router.
ciscoasa# configure terminal
ciscoasa(config)# interface [ethernet0/1 | management0/0]
ciscoasa(config-if)#
- Để dễ nhớ hơn nếu ta không nhớ tên cổng vật lý của ASA thì ta có thể dung tên luận lý thay cho tên cổng vật lý với từ khóa là “nameif”
ciscoasa(config-if)# nameif tên
- Câu lệnh đặt cho cổng interface hoàn toàn tương tự như router.
- Đặc điểm mới của ASA khác với router đó là Security Level , viết tắt là sec-lvl (mức độ bảo mật trên cổng). Sec-lvl có giá trị từ 0 – 100 với 100 là mức bảo mật cao nhất, và mặc định có giá trị là 0.
- Trường hợp ta tạo sub-interface cho ASA thì bắt buộc ta phải khai báo VLAN kèm theo tương ứng với VLAN trên Switch mà cổng của ASA cắm vào.
Ví dụ ta có sơ đồ và được cấu hình như sau:
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# hostname ASA1
ASA1(config)# interface Mamagement0/0
ASA1(config-if)# nameif mgmt
ASA1(config-if)# security-level 100
ASA1(config-if)# ip address 192.168.1.11 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config)# interface Ethernet0/1
ASA1(config-if)# no shutdown
ASA1(config)# interface Ethernet0/1.1201
ASA1(config-if)# vlan 1201
ASA1(config-if)# nameif fw1
ASA1(config-if)# security-level 50
ASA1(config-if)# ip address 172.16.61.1 255.255.255.0
ASA1(config)# interface Ethernet0/1.1212
ASA1(config-if)# vlan 1212
ASA1(config-if)# description *** Welcome to the VnPro ***
ASA1(config-if)# nameif svcs
ASA1(config-if)# security-level 99
ASA1(config-if)# ip address 172.16.62.171 255.255.255.240
ASA1(config-if)# end
ASA1#
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# hostname ASA1
ASA1(config)# interface Mamagement0/0
ASA1(config-if)# nameif mgmt
ASA1(config-if)# security-level 100
ASA1(config-if)# ip address 192.168.1.11 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config)# interface Ethernet0/1
ASA1(config-if)# no shutdown
ASA1(config)# interface Ethernet0/1.1201
ASA1(config-if)# vlan 1201
ASA1(config-if)# nameif fw1
ASA1(config-if)# security-level 50
ASA1(config-if)# ip address 172.16.61.1 255.255.255.0
ASA1(config)# interface Ethernet0/1.1212
ASA1(config-if)# vlan 1212
ASA1(config-if)# description *** Welcome to the VnPro ***
ASA1(config-if)# nameif svcs
ASA1(config-if)# security-level 99
ASA1(config-if)# ip address 172.16.62.171 255.255.255.240
ASA1(config-if)# end
ASA1#
- Xem tên đại diện và ip của cổng
- Tiến hành ping kiểm tra kết nối:
- Một tính năng đặc biệt nữa là cổng vật lý của ASA 5505 có tính năng như cổng của thiết bị switch. Có nghĩa là trên cổng của ASA, ta có thể cấu hình trunking, tạo vlan, gán cổng vào vlan.
Ví dụ như sơ đồ sau đây:
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# hostname ASA5505
ASA5505(config)# interface Ethernet0/5
ASA5505(config-if)# switchport access vlan 100
ASA5505(config-if)# no shutdown
ASA5505(config)# interface Ethernet0/3
ASA5505(config-if)# switchport trunk allow vlan 100, 201
ASA5505(config-if)# switchport mode trunk
ASA5505(config-if)# no shutdown
ASA5505(config)# interface vlan 100
ASA5505(config-vlan)# description *** Management Interface ***
ASA5505(config-vlan)# nameif mgmt
ASA5505(config-vlan)# security-level 100
ASA5505(config-vlan)# ip address 192.168.1.2 255.255.255.0
ASA5505(config-vlan)# no shutdown
ASA5505(config)# interface vlan 201
ASA5505(config-vlan)# description *** DMZ Network ***
ASA5505(config-vlan)# nameif dmz
ASA5505(config-vlan)# security-level 50
ASA5505(config-vlan)# ip address 172.16.201.2 255.255.255.0
ASA5505(config-vlan)# no shutdown
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# hostname ASA5505
ASA5505(config)# interface Ethernet0/5
ASA5505(config-if)# switchport access vlan 100
ASA5505(config-if)# no shutdown
ASA5505(config)# interface Ethernet0/3
ASA5505(config-if)# switchport trunk allow vlan 100, 201
ASA5505(config-if)# switchport mode trunk
ASA5505(config-if)# no shutdown
ASA5505(config)# interface vlan 100
ASA5505(config-vlan)# description *** Management Interface ***
ASA5505(config-vlan)# nameif mgmt
ASA5505(config-vlan)# security-level 100
ASA5505(config-vlan)# ip address 192.168.1.2 255.255.255.0
ASA5505(config-vlan)# no shutdown
ASA5505(config)# interface vlan 201
ASA5505(config-vlan)# description *** DMZ Network ***
ASA5505(config-vlan)# nameif dmz
ASA5505(config-vlan)# security-level 50
ASA5505(config-vlan)# ip address 172.16.201.2 255.255.255.0
ASA5505(config-vlan)# no shutdown
- Xem thông tin các cổng được gán cho vlan nào:
- Đối với ASA thì chỉ chấp nhận gói tin telnet với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
- Telnet sử dụng cơ sở dữ liệu là “LOCAL”, đây là từ khóa mặc định cho các dòng ASA.
- Các bước cấu hình
Bước 1: Tạo username và password
ciscoasa(config)# username admin password tênpass privileged 15
Bước 2: Bật xác thực telnet trên ASA
ciscoasa(config)# aaa authentication telnet console LOCAL
ciscoasa(config)# username admin password tênpass privileged 15
Bước 2: Bật xác thực telnet trên ASA
ciscoasa(config)# aaa authentication telnet console LOCAL
4. SSH:
- Đối với ASA thì chỉ chấp nhận gói tin ssh với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
- Cấu hình SSH trên ASA cũng tương tự như trên router. Chỉ một điểm khác là ta bật SSH lên bằng câu “aaa …”
- Các bước cấu hình
Bước 1: Tạo username và password
ciscoasa(config)# username admin password tênpass privileged 15
Bước 2: Bật tính năng AAA
ciscoasa(config)# aaa new-model
Bước 3: Tạo domain cho quá trình SSH
ciscoasa(config)# ip domain-name tên
Bước 4: Tạo key
ciscoasa(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024
Bước 5: Chọn version cho SSH
ciscoasa(config)# ip ssh version 2
Bước 6: Kích hoạt tính năng SSH và áp vào VTY
ciscoasa(config)# aaa authentication login TERMINAL-LINES local
ciscoasa(config)# line vty 0 4
ciscoasa(config-line)# login authentication TERMINAL-LINES
ciscoasa(config)# username admin password tênpass privileged 15
Bước 2: Bật tính năng AAA
ciscoasa(config)# aaa new-model
Bước 3: Tạo domain cho quá trình SSH
ciscoasa(config)# ip domain-name tên
Bước 4: Tạo key
ciscoasa(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024
Bước 5: Chọn version cho SSH
ciscoasa(config)# ip ssh version 2
Bước 6: Kích hoạt tính năng SSH và áp vào VTY
ciscoasa(config)# aaa authentication login TERMINAL-LINES local
ciscoasa(config)# line vty 0 4
ciscoasa(config-line)# login authentication TERMINAL-LINES
- Đối với ASA thì chỉ chấp nhận cấu hình bằng ASDM với ip nguồn là mạng 192.168.1.0/24 và với username mặc định là “admin”.
- ASDM phải được cài đặt trực tiếp lên Flash.
- Các bước cấu hình:
Bước 1: Tạo username và password
ciscoasa(config)# username admin password tênpass privileged 15
Bước 2: Định nghĩa ip cho phép cấu hình và xác thực với cơ sở dữ liệu của ASA
ciscoasa(config)# http 192.168.1.0 255.255.255.0 mgmt
ciscoasa(config)# aaa authentication http console LOCAL
Bước 3: Bật tính năng HTTP Server
ciscoasa(config)# http server enable
Bước 4: Định nghĩa vị trí lưu ASDM
ciscoasa(config)# asdm image disk0:/asdm-621.bin
6. Quản lý license:
- Câu lệnh xem license của ASA
ciscoasa# show version
- Thay đổi license:
ciscoasa(config)# activation-key key-id
ciscoasa# show version
- Thay đổi license:
ciscoasa(config)# activation-key key-id
Giảng Viên Hồ Vũ Anh Tuấn – VnPro
Comment