Einrichten der Cisco ASA 5510-Firewall, Teil 2

In Teil eins meiner ASA-Firewall-Serie habe ich die ersten Aktualisierungen und Vorbereitungen für Schnittstellen und Routen durchgeführt. Ich weiß nichts über Sie, aber ich bin ziemlich faul. Meine erste Priorität ist es, den Zugriff auf Netzwerkgeräte von überall im Netzwerk zu ermöglichen. Ich werde einen kurzen Überblick über das Einrichten des Verwaltungszugriffs geben und dann einen Cluster mit zwei ASAs einrichten.

Das Wichtigste zuerst ... Lassen Sie uns den Verwaltungszugriff in Gang bringen. Klicken Sie auf die Schaltfläche Konfiguration in der oberen linken Ecke des ASDM und dann auf die Schaltfläche Geräteverwaltung in der unteren linken Ecke. Erweitern Sie Verwaltungszugriff in der Geräteverwaltungsstruktur. Die Verwaltungsschnittstelle wird wahrscheinlich bereits vorhanden sein, da Sie damit auf das ASDM zugegriffen haben, während Sie direkt über ein Netzwerkkabel verbunden waren. Nachdem wir jedoch interne Schnittstellen und Routen konfiguriert haben, können wir diese für das Netzwerk öffnen. Bitte stellen Sie sicher, dass Sie es nur für Netzwerke öffnen, die unbedingt erforderlich sind. In meinem Beispiel verwende ich das IT-Subnetz, das wir zuletzt im Netzwerk 192.168.12.0 konfiguriert haben.

1. Klicken Sie auf Hinzufügen

2. Klicken Sie auf ASDM / HTTPS, um den Zugriff auf die ASDM-GUI zu ermöglichen.

* Hinweis: Sie können auch Telnet oder SSH verwenden, wenn Sie die Befehlszeile bevorzugen. Ich empfehle dringend, dass Sie Telnet nicht verwenden, da es über Klartext kommuniziert. Dies bedeutet, dass jemand, der in Ihrem Netzwerk herumschnüffelt, die Kommunikation abfangen und Benutzernamen, Kennwörter und Konfigurationseinstellungen klar anzeigen kann.

3. Geben Sie im Feld IP-Adresse 192.168.12.0 ein, um den Zugriff auf dieses Netzwerk zu ermöglichen.

4. Geben Sie im Feld Maske 255.255.255.0 ein.

* Sie können dies noch weiter eingrenzen, wenn Sie statische IP-Adressen verwenden. Wenn Ihr Computer beispielsweise eine statische IP-Adresse von 192.168.12.5 hat, verwenden Sie diese als IP-Adresse und 255.255.255.255 als Maske.

Abbildung A zeigt das resultierende Dialogfeld.

Abbildung A.

5. Klicken Sie unten auf der Seite auf OK und Übernehmen. Sie können auch auf Speichern klicken, um sicherzustellen, dass Ihre Firewall diese Konfiguration speichert und sie beim nächsten erneuten Laden des Systems anwendet.

Sie sollten jetzt in der Lage sein, zu Ihrem Schreibtisch zurückzukehren und von Ihrem Computer im 192.168.12.0-Netzwerk aus auf das ASDM (oder die Befehlszeile) zuzugreifen. Mein nächstes Anliegen ist das Einrichten des Aktiv / Standby-Clusters, damit ich keinen Fehlerpunkt habe.

Stellen Sie zum Einrichten des Clusters sicher, dass alle geeigneten Netzwerkkabel an die richtigen VLANs Ihres Switch angeschlossen sind. In meinem Setup sind beide Verwaltungsschnittstellen mit einem Verwaltungs-VLAN auf dem Layer 3-Switch verbunden, ein Netzwerkkabel wird direkt von einem Gerät zum anderen geführt, und meine internen und externen Schnittstellen sind mit den entsprechenden VLANs auf dem Layer 3-Switch verbunden. Befolgen Sie diese Schritte:

1. Klicken Sie auf dem aktiven Gerät auf die Schaltfläche Konfiguration und dann auf die Schaltfläche Geräteverwaltung.

2. Erweitern Sie nun Hochverfügbarkeit und klicken Sie auf Failover

3. Setzen Sie auf der Registerkarte Setup ein Häkchen neben Failover aktivieren und 32 hexadezimale Zeichen verwenden (andernfalls erfolgt die Kommunikation zwischen den beiden Geräten im Klartext).

4. Geben Sie einen freigegebenen Schlüssel Ihrer Wahl ein

5. Wählen Sie unter LAN-Failover die Schnittstelle aus, die Sie für das Failover verwenden (die Schnittstelle, die direkt mit dem anderen ASA verbunden ist).

6. Wählen Sie einen logischen Namen (z. B. Failover).

7. Wählen Sie die IP-Adresse des aktiven Geräts aus, die beliebig sein kann. Wenn Sie 192.168.xx in Ihrer normalen Netzwerkkonfiguration verwenden, wählen Sie möglicherweise eine 10.xxx-IP-Adresse.

8. Wählen Sie die IP des Standby-Geräts. Wenn Sie beispielsweise 10.10.10.2 für Ihre aktive IP verwendet haben, verwenden Sie 10.10.10.3.

9. Wählen Sie Ihre Subnetzmaske aus (in meinem Beispiel 255.255.255.0, was bedeutet, dass die ersten 3 Oktette übereinstimmen müssen).

10. Wählen Sie die primäre Rolle für dieses aktive Gerät.

Abbildung B zeigt das resultierende Dialogfeld.

Abbildung B.

11. Klicken Sie auf Übernehmen. Die Failover-Konfiguration sollte auf beiden Geräten automatisch eingerichtet werden.

Wenn Sie sich die Vorderseite der ASAs ansehen, zeigen die LEDs an, ob ein Failover eingerichtet wurde. Die LED unter "Aktiv" leuchtet auf dem aktiven Gerät (das derzeit die bevorzugte primäre ist) grün und unter "Aktiv" im Standby gelb / orange. Sie können testen, ob das Failover korrekt eingerichtet ist, indem Sie das Netzwerkkabel am aktiven Gerät von der Inside-Schnittstelle abziehen. Wenn Sie nun nach vorne schauen, sollte die aktive LED auf dem Standby-Gerät jetzt grün leuchten. Sie sollten auch weiterhin in der Lage sein, über das Netzwerk eine Verbindung zum ASDM herzustellen. Möglicherweise müssen Sie es jedoch aktualisieren oder erneut anmelden, wenn Sie es bereits eingerichtet haben. Sie sehen dies auch im Geräte-Dashboard unter Failover-Status auf dem ASDM. Siehe Abbildung C.

Abbildung C.

Nach Teil 1 und 2 können wir jetzt über das Netzwerk auf das Gerät zugreifen und müssen uns nicht mehr um einen einzelnen Fehlerpunkt kümmern. In den nächsten Abschnitten dieser Serie werde ich die externe Schnittstelle einrichten und die ASAs für die Arbeit mit Active Directory konfigurieren.

© Copyright 2021 | pepebotifarra.com