احمد یزدانی

پیکربندی اینترفیس های ASA :

خانواده Cisco ASA 5500 دارای اینترفیس های Fast Ethernet , Gigabit Ethernet وTen Gigabit Ethernet می باشند همچنین بعضی از آنها به جز 5505 دارای اینترفیس management نیز هستند . بر روی هر کدام از این اینترفیس ها می توانیم چندین Sub interface تعریف کنیم . از اینترفیس های Fast Ethernet , Gigabit Ethernet برای مسیر یابی کردن یک ترافیک از یک اینترفیس یه اینترفیس دیگربا توجه به سیاست تعریف شده  استفاده می شود. این در حالی است که اینترفیس های Management برای برقراری ارتباط  Out-Of-Band استفاده می شود .
در ASA به هر اینتر فیس یک نام برای مشخص شدن نقش ان اینترفیس داده می شود . امن ترین بخش شبکه را Inside می نامیم که معمولآ به شبکه داخلی متصل می شود .و نا امن ترین قسمت شبکه را Outside می نامیم که معمولآ به اینترنت متصل است .البته این نام ها کاملآ اختیاری است و می تواند هر نام دیگری باشد .برای اینکه بتوانیم ویژگی ها را به اینترفیس ها نسبت دهیم حتمآ باید برای آنها یک نام منحصر به فرد مشخص کنیم  .
ASA همچنین از مبحثی به نام Security level  برای مشخص کردن اهمیت یک اینترفیس استفاده می کند . مهمترین اینترفیس که معمولآ  به شبکه داخلی هست دارای بالاترین Security level است . Security level  می تواند یک عدد بین 0 تا 100 باشد . اینترفیسی که به سمت شبکه خارجی نظیر اینترنت متصل است دارای کمترین Security level یعنی 0 است .اینترفیس های دیگر مانند اینترفیس DMZ می تواند عددی بین 0 تا 100 داشته باشد .
نکته : اگر با دستور nameif یک نام برای یک اینترفیس مشخص کنیم ASA به صورت خود کار یک Security level به ان اختصاص می دهد .اگر به یک اینترفس نام Inside داده شود Security level برای ان 100در نظر گرفته می شود .هر نام دیگری که داده شود Security level برای ان اینترفیس 0 در نظر گرفته می شود.هر چند این پارامتر را می توان با دستورsecurity-level  نیز تغییر داد .
یکی از پارامتر های مهم این قسمت اختصاص دادن IP آدرس است .اینترفیس های ASA می توانند آدرس مورد نظر را به صورت دستی  و یا از DHCP server دریافت کنند.
نکته : در صورتی که Firewall به صورت Routed mode باشد می توانیم به اینترفیس هایش آدرس IP دهیم اگر Firewall در Transparent mode باشد آدرس را باید در global configuration mode ذکر کنیم .
16.PNG

پارامتر های دیگری که می توانیم در این قسمت وارد کنیم Duplex و Speed  هستند . که سرعت و Full duplex و Half duplex بودن را مشخص می کند.
اگر بخواهیم وضعیت اینترفیس های دستگاه را مشاهده کنیم می توانیم از دستور Show interface استفاده کنیم .شکل زیر خروجی این دستور را نشان می دهد .
17.PNG

اینترفیس های Management تنها ترافیک های مدیریتی را از خود عبور می دهند .اینترفیس های Management همه ترافیک های که قصد عبور به یک اینترفیس دیگر را دارند را Block می کنند و تنها ترافیکی که مقصدش ASA است پردازش می شود.هر یک از اینترفیس های ASA هم می توانند نقش اینترفیس Management را بازی کنند برای این کار کافی است دستور management-only را در اینترفیس مورد نظر وارد کنیم.
تنظیمات ساعت و تاریخ :
توسط دستور clock set  می توانیم زمان و تاریخ دستگاه را تنظیم کنیم. بعد از اینکه زمان را برای ASA تعریف کردیم دستگاه System BIOS خود را update می کند بنابراین اگر سیستم Reboot شود نیاز به تنظیم مجدد زمان نداریم .
با استفاده از دستور show clock  می توانیم تاریخ و زمان دستگاه را مشاهده کنیم .
18.PNG
نکته : ASA می تواند به گونه ای پیکر بندی شود که بتواند تاریخ و زمان خود را از یک NTP Server دریافت کند.

مدیریت ASA :

ASA دو کپی از پیکر بندی ها را در خود نگه می دارد :
The active or running configuration
The saved or startup configuration
Running Configuration  :
Running configuration پیکر بندی اصلی است که دستگاه آن را داخل Memory برای استفاده Load می کند .هنگامیکه دستگاه Boot  می شود ASA یک کپی از تنظیمات  ذخیره شده را در داخل Memory قرار می دهد و از آن استفاده می کند. برای مشاهده تنظیماتی که هم اکنون ASA از آن استفاده می کند دستور show running-config را وارد می کنیم . 

19.PNG
هنگامیکه تغییراتی در پیکر بندی دستگاه انجام می دهیم تغییرات بر Running config اعمال می شود و این پیکر بندی ها بر روی NVRAM (nonvolatile RAM) ذخیره نمی شود .
چون دستور Show running config می تواند خط های زیادی را شامل شود می توانیم ویژگی خاصی را از این دستور مشاهده کنیم .برای این کار کافی است بعد از وارد کردن دستور فوق نام ویژگی مورد نظر را نیز ذکر کنیم .
20.5.PNG
دستور Show running-config در ASA دستوراتی که در مقادیر پیش فرض خود هستند را نشان نمی دهد برای مشاهده کامل Running configuration می توانیم از دستور Show running-config all  استفاده کنیم .
سیستم عامل ASA قابلیت جستوجو بر اساس یک کلمه کلیدی را به ما می دهد . برای این کار از دستور | grep بعد از دستور Show running-config  به همراه عبارت مورد نظر استفاده می کنیم .بعد از وارد کردن این دستور تمام سطر ها در Running config که این عبارت را در خود دارند نمایش داده می شود .به جای | grep می توانیم از دستور | include هم استفاده کنیم .دستورات دیگری هم که برای فیلتر کردن می توانیم استفاده کنیم شامل|exclude و |begin می باشد .  

21.PNG
Startup Configuration :
در طول Bootup process دستگاه از تنظیمات ذخیره شده به عنوان Running configuration استفاده می کند .این تنظیمات ذخیره شده را با نام Startup Configuration می شناسیم .برای مشاهده Startup configuration  از دستور Show startup-configuration و یا Show configuration استفاده می کنیم .
با استفاده از Copy running-config startup-config و یا write memory می توانیم تنظیمات Active را در NVRAM ذخیره کنیم .
 
نکته: بر خلاف Cisco IOS Router , ASA می تواند Running configuration را بدون نیاز به Reboot شدن پاک کند . این عمل در سناریو هایی مناسب است که بخواهیم دستگاه را به پیکربندی پیش فرض بر گردانیم .برای این کار از دستور clear configuration all  استفاده می کنیم .
هشدار : اگر توسط یکی از پروتکل های مدیریت از راه دور مانند SSH به دستگاه متصل باشیم بعد از وارد کردن این دستور ارتباط مان با دستگاه قطع خواهد شد .
برای پاک کردن دستورات Startup configuration می توانیم از دستور write erase  استفاده کنیم .