View RSS Feed

احمد یزدانی

قسمت پنجم Cisco ASA

Rating: 4 votes, 5.00 average.
توسط - 2012-04-13 - 01:46 PM (بازدید: 4512)
  
مدیریت License


ASA ویژگی های امنیتی و شبکه ای خود را از طریق License key  کنترل می کند .ما می توانیم با استفاده از دستور Show version  اطلاعاتی از License key که روی دستگاه نصب است بدست آوریم . این دستور همچنین اطلاعاتی در مورد محل ذخیره سازی System image و نسخه آن , نسخه ASDM (در صورت نصب بودن) , up time دستگاه , اطلاعاتی در مورد حافظه و Flash دستگاه , اینترفیس های فیزیکی , شماره سریال دستگاه  و ویژگی هایی که در حال حاظر بر روی دستگاه فعال است به ما می دهد .
برای تغییر دادن License key  از دستور activation-key استفاده می کنیم .مشخص است که باید قبل از آن License key معتبر را از شرکت Cisco تهیه کرده باشیم و عدد داده شده را به دنبال دستور بالا وارد کنیم .
1.PNG

پیکر بندی ASDM

همانطور که قبلآ اشاره شد برای راه اندازی اولیه ASA ما باید از طریق محیط CLI اقدام کنیم . و درصورت نیاز می توانیم دستگاه را برای ارتباط ازطریق ASDM هم آماده کنیم .
در این قسمت قصد داریم ASA را برای اتصال ASDM Client و پیکربندی از طریق ASDM آماده کنیم . ابتدا باید ASDM image را بر روی Flash داخلی دستگاه نصب کنیم . می توانیم با استفاده از دستور dir مطمئن می شویم که ASDM نصب است یا خیر (به طور پیش فرض نصب نیست).

2.PNG

اگر ASDM image بر روی دستگاه نصب نباشد باید image را از طریق یک سیستم  به دستگاه  upload کنیم . برای upload  کردن فایل می توانیم از پروتکل TFTP استفاده کنیم .
ASA برای انجام این کار به پیکر بندی های مقدماتی نظیر Interface name , Security level و IP address نیاز دارد .
مثال  زیر را در نظر بگیرید:
 اینترفیس Ethernet 0/0 دستگاه به شبکه داخلی(Trust ) متصل است و دارای آدرس 192.168.10.1  است . چون این اینترفیس به شبکه داخلی ما متصل است نام Inside رابا استفاده از دستور nameif به ان نسبت می دهیم.security level اهمیت یک اینترفیس را در شبکه مشخص می کند معمولآ اینترفیس هایی که به شبکه های Public نظیر اینترنت متصل هستند دارای security level پایین (0) هستند و اینتر فیس هایی که به شبکه Private متصل هستند نظیر شبکه داخلی دارای بالاترین اهمیت را دارند (100)  .TFTP Server دارای آدرس 192.168.10.2 است.بعد از پیکر  بندی موارد گفته شده با استفاده از دستور Ping از برقرار بودن ارتباط فیزیکی ASA و TFTP Server مطمئن می شویم:

3.PNG

و در نهایت با استفاده از دستور Copy فایل را از TFTP Server به ASA انتقال می دهیم:
4.PNG
در قسمت Address or name of remote host آدرس TFTP server را وارد می کنیم و در خط بعد هم نام فایل ASDM ذخیره شده در TFTP server را وارد می کنیم.
با استفاده از دستور dir  از نصب ASDM مطمئن می شویم .
5.PNG
ASA همیشه اولین ASDM image ای را که از Flash  پیدا می کند Load می کند . اگر چندین ASDM image در Flash وجود داشته باشد می توانیم با دستور زیر image  مورد نظر را برای اجرا شدن انتخاب کنیم .

6.PNG

ASA از پروتکل SSL برای برقراری ارتباط با Client استفاده می کند در این صورت ASA نقش یک Web server را برای پردازش دستورات کاربر ایفا می کند . بنابر این باید Web server را فعال کنیم .علاوه بر این کار باید کاربرانی را که در یک شبکه Trust شده قرار دارند و می خواهیم به دستگاه دسترسی داشته باشند را معرفی کنیم .در مثال زیر بعد از فعال کردن Web server کاربران متصل به اینترفیس inside با آدرس شبکه 192.168.10.0 را مجاز دسترسی به ASA می کنیم .
7.PNG

اتصال به ASDM :
ASDM می تواند از همه Workstation هایی که در شبکه Trust  شده قرار دارند قابل دسترس باشد .برای ایجاد ارتباط از طرف Client ابتدا Browser خود را باز کرده و در قسمت   Address Bar آدرس زیر را وارد کنید
https://192.168.10.1/admin

بعد از وارد کردن آدرس بالا مرورگر ما را به یک آدرس دیگر هدایت می کند .و پنجره زیر باز می شود :
8.PNG

در این پنجره گزینه Install ASDM Launcher and Run ASDM را انتخاب می کنیم .در این صورت ASA یک نرم افزار با نام asdm-launcher.msi ارائه می کند که ان را می توان روی Workstation نصب کرد .و برای اتصال به ASA از آن استفاده کرد .
بعد از اینکه برنامه ASDM اجرا شد در قسمت Devise IP Address  آدرس ASA را وارد می کنیم و همچنین اگر از قبل Username و Password ایجاد کرده ایم آنها را در فیلد خود وارد می کنیم . در صورتیکه Username و Password ساخته نشده فیلد ها را خالی رها می کنیم . و اگر بر روی دستگاه فقط Enable Password  فعال است آن را در قسمت Password وارد می کنیم و  قسمت Username را خالی رها می کنیم .
9.PNG
بعد از اینکه عملیات Authentication   انجام شد وارد برنامه می شویم و ASDM فایل های پیکر بندی را از دستگاه Load می کند و آن را به صورت گرافیکی نمایش می دهد .
10.jpg

صفحه ابتدایی ASDM که به ان Home screen  گویند از 6 بخش تشکیل شده است :
Device Information : اطلاعاتی در مورد سخت افزار و نرم افزار دستگاه به ما نشان  می دهد .
VPN Session : نشان دهنده تعداد IPSec های فعال و اتصالات VPN می باشد .
System Resource Status : نشان دهنده وضعیت استفاده از منابع دستگاه مانند CPU و Memory
Interface Status :نشان دهنده اینترفیس ها همراه با IP آدرس های داده شده به همراه نام و وضعیت جاری آنها.
Traffic Status :نمایش اطلاعاتی در مورد تعداد کانکشن های فعال TCP و UDP
Latest ASDM Syslog Message :نمایش آخرین پیغام های Syslog که توسط ASA به ASDM ارسال شده است.
 علاوه بر صفحه Home در ASDM دو صفحه دیگر جهت کار با ASA وجود دارد :
Configuration : این قسمت برای اعمال پیکربندی بر روی دستگاه و یا تغییر دادن پیکر بندی های موجود استفاده می شود .در این قسمت بخش های مختلفی وجود دارد که هر قسمت برای پیکر بندی یکی از ویژگی های ASA به کار می رود .بخش هایی مانند Device Setup , Firewall , Remote Access VPN , Site-to-Site VPN , IPS و Device management می باشد .
Monitoring :این قسمت با ارائه گراف هایی به صورت  PSe-to-Site VPNNخش هایی مانند   یکی از ویژگی های ََُییر دادن پیکر بندی های موجود استفاده می شود .در این قسمت بخش های مختلفی وجوReal Time وضعیت های مختلفی از دستگاه را به ما نشان می دهد .این قسمت دارای بخش های مختلفی نظیر Interface , VPN  , IPS , Routing , Properties و Logging  می باشد .

پیکر بندی مقدماتی ASA

بعد از اینکه از طریق CLI و یا ASDM  به ASA متصل شدیم می توانیم با توجه به نیاز شبکه دستگاه را پیکر بندی کنیم .در این قسمت قصد داریم تا پیکر بندی های اولیه دستگاه را بررسی کنیم :
نام پیش فرض دستگاه که به ان Hostname گفته می شود به طور پیش فرض Ciscoasa است .بهتر است برای اینکه راحت تر دستگاه ها را در شبکه شناسایی کنیم یک نام منحصر به فرد برای آنها مشخص کنیم.
در ASA  قادر هستیم برای Privileged mode یک password تعریف کنیم که به ان enable password می گویند . هنگامیکه در User modeقرار داریم و می خواهیم وارد Privileged mode شویم این password از ما خواسته می شود . مثال زیر نام پیش فرض دستگاه را تغییر داده و برای Privileged mode یک password قرار می دهد :

13.PNG
Telnet  اجازه مدیریت از راه دور دستگاه را فراهم می کند . برای اینکه Telnet  فعال شود باید یک Telnet password  برای ASA تعریف کنیم.و بعد از آن باید workstation هایی که مجاز به دسترسی به دستگاه هستند را به همراه نام اینترفیسی که به client ها متصل است را ذکر کنیم  . برای این کار از دستور زیر استفاده می کنیم :
14.PNG
نکته : تمامی password هایی که در ASA تعریف می شود در دستور show running config  که برای نمایش دادن پیکر بندی های دستگاه است به صورت رمز شده به نمایش در می آید .
15.PNG
hadializadeh، mohsenhvac، aliafzalan و 4 نفر دیگر سپاسگزاری کرده‌اند.
دسته ها
دسته بندی نشده

نظر

  1. شناسه تصویری s mollaei
    سلام
    بی زحمت میشه لطف کنید قسمت 1و2و3 از Cisco ASA رو هم بذارید
    ممنون