View RSS Feed

احمد یزدانی

قسمت هفتم Cisco ASA

Rating: 4 votes, 5.00 average.
توسط - 2012-05-24 - 10:50 PM (بازدید: 2719)
  
مدیریت از راه دور

علاوه برپیکر بندی ASA از طرق console روش های دیگری برای پیکر بندی دستگاه وجود دارد  :
Telnet
SSH
ASDM
در مورد پیکر بندی از طریق ASDM قبلآ توضیحاتی داده شد .
Telnet :
ASA قابلیت تبدیل شدن به Telnet Server را دارد .این قابلیت به مدیران شبکه امکان برقراری ارتباط از راه دور بدون نیاز به برقراری ارتباط فیزیکی با دستگاه  را می دهد .
رفتار پیش فرض دستگاه  Deny کردن همه افرادی است که قصد برقراری ارتباط با دستگاه را از طریق Telnet  دارند . بنابراین افرادی را که مجاز به دسترسی به ASA هستند را باید مشخص کنیم.
نکته :  امروزه به ندرت از پروتکل Telnet برای برقراری ارتباط بین Client  و Server استفاده می شود . چون در این پروتکل اطلاعات که بین Client و Server مبادله می شود به صورت رمز شده نیست و اصطلاحآ می گویند اطلاعات به صورت  Clear Text مبادله می شود . و پیشنهاد می شود به جای ان از پروتکل SSH استفاده کنند.
می توانیم Telnet را روی همه اینترفیس های دستگاه فعال کنیم هرچند ASA اجازه عبور ترافیک Telnet از سمت اینترفیس Outside به ASA  را نمی دهد  مگر اینکه session به وسیله IPSec Tunnel محافظت شود .
همانطور که در قبل گفته شد برای پیکر بندی Telnet  به صورت زیر عمل می کنیم :
23.PNG

نکته : پس پیکربندی Telnet در ASA کاربران قادر خواهند بود تا با وارد کردن Telnet password از دستگاه خود به ASA متصل شوند که به طور پیش فرض cisco می باشد .برای تغییر دادن Telnet password همانطور که قبلآ اشاره شد از دستور passwd استفاده می کنیم .
  دستور بالا کلیه workstation هایی را که در شبکه 192.168.10.0 قرار دارند و به اینترفیس Inside متصل هستند را مجاز به بر قراری ارتباط از طریقTelnet   می کند . در صورتیکه کاربر در 5 دقیقه دستوری وارد نکند ارتباط کاربر قطع خواهد شد .
برای مشاهده لیستی از آدرس هایی که از طریق Telnet به ASA متصل شده اند می توانیم از دستورwho استفاده کنیم :
24.PNG

بعد از وارد کردن این دستور آدرس workstation هایی که به دستگاه متصل هستند را  خواهیم دید و توسط دستور kill می توانیم ارتباط آدرس خاصی را قطع کنیم .
25.PNG

Secure Shell (SSH):
برای مدیریت از راه دور دستگاه SSH پیشنهاد می شود .چون در این روش اطلاعاتی که بین Client و Server رد و بدل می شود با استفاده از الگریتم هایی نظیر 3DES و یا AES رمزنگاری می شود .
قبل از اینکه SSH Client و SSH Server داده ها را به صورت رمز شده در بیاورند ابتدا یک RSA security key بین یکدیگر مبادله می کنند .این key برای این استفاده می شود که کاربران غیر مجاز نتوانند محتوی پکت ها را مشاهده کنند .برای پیکر بندی SSH مانند مثال زیر عمل می کنیم :

26.PNG

بعد از برقراری ارتباط از طریق SSH به دستگاه  , ASA ار کاربر که Username و Password می خواهد .اگر از قبل هیچ Username و Password تعریف نشده باشد به طور پیش فرض Username برابر است با pix و Password برابر است با cisco  .
برای مشاهده کاربرانی که از طریق SSH به دستگاه متصل شده اند دستور show ssh session را وارد می کنیم .

نصب و ارتقای سیستم عامل :
سیستم عامل ASA یا System Image در حافظه Flash  که به ان Disk0 نیز می گویند ذخیره می شود .برای ارتقای System Image می توانیم System Image جدید را از TFTP Server به داخل دستگاه کپی کنیم . برای انتقال Image از TFTP Server به داخل دستگاه از دستور Copy استفاده می کنیم .
28.PNG

در مثال بالا با فرمان copy فایل asa804-16-k8.bin را از TFTP Server با آدرس 192.168.10.2  به Flash کپی می کنیم .
بعد از انتقال با ید Image  جدید را به عنوان سیستم عامل اصلی دستگاه معرفی  کنیم و سپس تغییرات را ذخیره کنیم و دستور reload را وارد می کنیم:

29.PNG
30.PNG

نصب سیستم عامل در محیط ROMMON :
اگر System Image که بر روی دستگاه نصب است خراب شود و یا دستگاه قادر نباشد System Image را boot کند دستگاه وارد محیط ROMMON می شود .در این محیط ASA توانایی دریافت Image  جدید را از TFTP Server دارد . قبل از اینکه ASA بتواند فایل جدید را دریافت کند نیاز به پیکربندی اولیه دارد . مثال زیر چگونگی دریافت فایل را از یک TFTP Server شرح می دهد :
31.PNG
ابتدا توسط دستور address یک IP Address به دستگاه اختصاص می دهیم  و بعد با استفاده از دستور server کامپیوتری که نقش TFTP Server را بازی کمی کند معرفی می کنیم در قسمت بعد با استفاده از دستور interface آدرس IP داده شده را به یک اینترفیس نسبت می دهیم و در آخر با استفاده از دستور file نام System Image  را مشخص می کنیم .
برای مشاهده پیکر بندی های اعمال شده از دستور set استفاده می کنیم بعد از اینکه از درستی پیکر بندی ها مطمئن شدیم با استفاده از دستور tftpdnld فایل جدید را به ASA انتقال می دهیم .
32.PNG
ARM، Reza.D، mohsenhvac و 6 نفر دیگر سپاسگزاری کرده‌اند.
دسته ها
Cisco

نظر

  1. شناسه تصویری aliasp
    سلام مهندس من يه سوالي داشتم تو يه شبكه اي اينترنت اومده به مودم SHDSL از مودم هم به روتر رفته و از روتر به سويچ و شبكه كار مي كنه حالا ما مي خواييم يه Cisco ASA 5510 اضافه كنيم چي كار بايد بكنيم ؟ممنون ميشم اگه راهنمايي بفرماييد.
  2. شناسه تصویری A.Yazdani
    سلام
     روتر رو به ASA وصل کنید و ASA رو به switch 
    در این حالت Gateway کلاینت ها میشه ASA . بعد در ASA یک Default route به سمت روتر بنویسید تا ترافیک اینترنت به سمت روتر فرستاده بشه و سمت روتر هم یک Static route بنویسید به ASA   برای ترافیک برگشی  از اینترنت. 
    aliasp سپاسگزاری کرده است.
  3. شناسه تصویری aliasp
    مودم رو به كدوم يكي وصل كنم ؟
    بايد DMZ هم داشته باشم؟اين DMZ كلا چي هست؟
    يعني فقط Default Route براي كانفيگ كافي هست ؟
    ما نرم افزار اكانتينگ NTTACPLUS رو سرور ها داريم آيا ASA در كانتينگ ما تاثير مي گذاره؟
    ممنون ميشم ازكمكتون
  4. شناسه تصویری AZNETWORK
    سلام ما که خیلی استفاده کردیم.خداخیرتون بده
  5. شناسه تصویری rezasafe
    با سلام و سپاس فراوان