Index | Geschiedenis | Cursus IP | Intranet | Security | Firewall | Management | Voip | Html | Faq's
Inleiding | Netwerk | Servers | Werkstations
Ontwerp | Een segment | Segmenten / VLan's | Asa, Pix, Fwsm
Google

Inleiding.

Binnen dit hoofdstuk worden in eerste instantie diverse zaken m.b.t. Cisco Pixen, Asa's en Fwsms beschreven. Voorlopig even als korte aandachts notities, die later wellicht uitgewerkt zullen worden.

Hoe bruikbaar zijn de Cisco Asa, Pix en Fwsm firewall apliances.

De Cisco Pix, Asa en FWSM zijn van oorsprong afkomstig van een dor Cisco ingelijfd bedrijf. Hierna is er dor Cisco het e.e.a. aan gesleuteld, waardoor de gebruiksvriendelijkheid van de apparaten zeker is toegenomen. Echter de interface blijft nog vele eigen trekjes hebben, waardor het beheer van de doos keer op keer weer effe anders is als het beheer van bijvoorbeeld IOS (het Cisco eigen operating systeem) routers.
Dingen die bijvoorbeeld in het oog springen:
  • Het aparaat ondersteund snmp, maar een basis functionaliteit als de arp tabel wordt niet ondersteund.
  • Vele commando's ontbreken of zijn anders. Zoals:
    • Geen show user commando (handig in geval van bijvoorbeeld trouble shooten).
    • show ip route = show route, maar je kunt geen specifiek adres mee geven.

Nat configs

  1. Het configureren van zgn nat-overload.
    Onder nat-overload verstaan we het vertalen van het source adres uitgaand, als je bijvoorbeeld vanaf een intranet, naar het internet communiceerd. Hierbij worden op de router / firewall bij het naar buiten gaan de source adressen vertaald naar een routeerbaar adres op bijvorbeeld het internet. Op het internet lijkt vervolgens of ale connectie verzoeken van interne hosts allemaal vanaf het adres x.x.x.x (in het voorbeeld 10.48.1.252) afkomen. Een voorbeeld config. 
      global (TestLab) 3 10.48.1.252 netmask 255.0.0.0
  nat (InternalUsers) 3 10.48.4.0 255.255.252.0
    In het bovenstaande voorbeeld worden de gebruikers die op de adressen 10.48.4.0 t/m 10.48.7.255 zitten achter de interface InternalUsers vertaald naar het adres 10.48.1.252. Een server die achter de TestLab interface zit, ziet dus alle requests vanaf 1 adres binnen komen.
  2. Het configureren van Nat Exempt (het uitsluiten van Nat).
    Heb je al nat in de firewall, en wil je niet dat het verkeer naar die specifieke adressen / netwerken vertaald wordt, voeg dan een zgn. nat exempt statement toe d.m.v. de onderstaande regels. 
      access-list InternalUsers_nat0_outbound extended permit ip any 10.48.16.0 255.255.240.0
  nat (InternalUsers) 0 access-list InternalUsers_nat0_outbound
    Doordat de de access-list sequentieel doorlopen wordt, wordt dit commando als eerste gehit, voordat de eventuele vlgende regels aan bod komen.

    Het bekijken van de resultaten met het commando show nat 

      NAT policies on Interface InternalUsers:
   match ip InternalUsers any InternalUsers 10.48.16.0 255.255.240.0
     NAT exempt
     translate_hits = 0, untranslate_hits = 0
  (alleen de betreffende regel is gedisplayed.
  3. xlate.
    Met het commando clear xlate kun je de nat tabel clearen. Hiermee worden eventuele staande sessies verbroken. Met het commando show xlate kun je de nat tabel bekijken (de entries die met static aangemaakt zijn).

Dhcp server op Pix

Onderstaand een soort default config voor een dhcp server op een Pix Inside-interface = de naam van de interface aan de binnen kant. 
dhcpd address 192.168.1.2-192.168.1.254 Inside-interface
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable Fasttrack

Momenteel in bewerking...

bernard@netwerkinformatie.com