La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

- Configuration ASA/PIX

Publié parPaule Paré Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "- Configuration ASA/PIX"— Transcription de la présentation:

1 - Configuration ASA/PIX
Sécurité - ASA/PIX 7.x - Configuration ASA/PIX avec RIP ccnp_cch

2 Sommaire  Introduction - Prérequis - Composants utilisés
- Produits liés  Rappel  Configuration - Schéma du réseau - Configurations - Configuration avec l'ASDM - Configuration de l' authentification RIP - Configuration CLI de l'ASA Cisco - Configuration CLI IOS Cisco Routeur R2 - Configuration CLI IOS Cisco Routeur R1 - Configuration CLI IOS Cisco Routeur R3 - Redistribution de RIP avec l'ASA  Vérification  Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

3 Introduction Ce document explique comment configurer l'appliance de sécurité Cisco ASA pour
qu'elle apprenne les routes à travers RIP (Routing Information Protocol), réalise l' au- thentification et la redistribution. Note: La configuration présentée dans ce document est basée sur la version 2 de RIP. Note: Le routage assymétrique n'est pas supporté dans l'ASA/PIX. Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration:  L'ASA/PIX Cisco doit opérer avec la version 7.x ou suivantes  RIP n'est pas supporté en mode multi-contexte, il est supporté en mode "single". Components Used Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  Cisco 5500 Adaptive Security Appliance (ASA) qui opère avec un logiciel version 8.0 ou suivantes.  Cisco Adaptive Security Manager (ASDM) version 6.0 ou suivantes. Produits liés Cette configuration peut être aussi utilisée avec le PIX Cisco série 500 qui opère avec une version 8.0(x) ou suivantes. Rappel RIP est un protocole de routage vecteur distance qui utilise le nombre de sauts comme métrique pour la sélection de chemin. Quand RIP est validé sur une interface, l'inter- face échange des broadcasts RIP avec des équipements avoisinants pour apprendre dynamiquement des routes et les annoncer. L'appliance de sécurité supporte RIP version 1 et RIP version 2. RIP version 1 ne trans- met pas le masque de sous-réseau avec la table de routage. RIP version 2 transmet le masque de sous-réseau avec la mise à jour de routage et supporte les masques de lon- gueur variable. De plus RIP version 2 supporte l'authentification du voisin quand les mises à jour sont échangées. Cette authentification assure que l'appliance de sécurité reçoit des informations de routage fiables d'une source fiable. Limitations : 1. L'appliance de sécurité ne peut pas passer des mises à jour RIP entre interfaces. ccnp_cch

4 Configuration ccnp_cch
2. RIP version 1 ne supporte pas le VLSM (Variable Length Subnet Mask) RIP a un nombre maximal de sauts égal à 15. Une route avec un nombre de sauts supérieur à 15 est considérée comme inaccessible La convergence RIP est relativement lente comparée à celle des autres protocoles de routage Vous pouvez activer un seul processus RIP sur l'appliance de sécurité. Note: Ces informations s'appliquent uniquement à RIPv2 1. Si vous utilisez l'authentification de voisins, la clé d'authentification et l'ID de clé doivent être les mêmes sur tous les équipements voisins qui délivrent des mises à jour RIP version 2 vers cette interface Avec RIP version 2, l'appliance de sécurité transmet et reçoit les mises à jour de routes par défaut en utilisant l'adresse multicast En mode passif elle reçoit les mises à jour à cette adresse Quand RIP version 2 est configuré sur une interface, l'adresse multicast est enregistrée sur cette interface. Quand la configuration RIP version 2 est retirée de l'interface, l'adresse multicast est également retirée. Configuration Schéma du réseau /24 R3 .2 /24 Internet /24 .1 .2 .1 Inside Outside .1 R2 /24 ASA /24 .2 R1 ccnp_cch

5 Configurations ccnp_cch Ce document utilise ces configurations:
 Configuration avec l'ASDM  Configurer l' Authentification RIP  Configuration ASA Cisco avec la CLI  Configuration CLI IOS Cisco Routeur R2  Configuration CLI IOS Cisco Routeur R1  Configuration CLI IOS Cisco Routeur R3 Configuration avec l'ASDM L'ASDM (Adaptive Security Device Manager) est une application, basée sur un naviga- teur web, utilisée pour configurer et superviser le logiciel sur les appliances de sécu- rité. L'ASDM est chargé à partir de l'appliance de sécurité et il est ensuite utilisé pour configurer, superviser et administrer l'équipement. Vous pouvez également utiliser l'ASDM Launcher (Windows uniquement) pour lancer l'application ASDM plus rapide- ment que l'applet Java. Cette section décrit les informations dont vous avez besoin pour configurer les fonctionnalités décrites dans ce document avec l'ASDM. Exécutez ces étapes pour configurer RIP sur l'ASA Cisco Loggez vous sur l'ASA Cisco avec l'ASDM Naviguez vers Configure> Device Setup> Routing> RIP sur l'interface ASDM comme le montre la figure suivante. ccnp_cch

6 3. Choisissez Configure> Device Setup> Routing> RIP> Setup pour valider le rou-
tage RIP a. Cochez la case Enable RIP routing. b. Cochez la case Enable RIP version avec le bouton radio Version 2 validé. c. Dans le panneau Networks, ajoutez le réseau d. Cliquez sur Apply. Champs a. Enable RIP routing - Cochez cette case pour valider le routage RIP sur l'appliance de sécurité. Quand vous validez RIP, il est validé sur toutes les interfaces. Si vous cochez cette case cela valide d'autres champs dans le panneau. Décochez cette case pour dévalider le routage RIP sur l'appliance de sécurité b. Enable auto-summarization - Décochez cette case pour dévalider le résumé auto- matique de routes. Cochez cette case pour revalider le résumé automatique de routes. RIP version 1 utilise toujours le résumé automatique de routes. Vous ne pouvez pas dévalider le résumé automatique de routes pour RIP Version 1. Si vous utilisez RIP version 2 vous pouvez arrêter le résumé automatique de routes si décochez cette case. Dévalidez le résumé automatique de routes si vous devez réaliser du routage entre sous-réseaux disjoints. Quand le résumé automatique est dévalidé, les sous-réseaux sont annoncés. ccnp_cch

7 c. Enable RIP version - Cochez cette case pour spécifier la version de RIP utilisée sur
l'appliance de sécurité. Si cette case est décochée alors l'appliance de sécurité transmet des mises à RIP version 1 et accepte des mises à jour RIP version 1 et RIP version 2. Ce paramètre peut être outrepassé par interface dans le panneau Interface. ▪ Version 1 - Spécifie que l'appliance de sécurité transmet et reçoit uniquement des mises à jour RIP version 1. Toute mise à jour RIP version 2 est éliminée ▪ Version 2 - Spécifie que l'appliance de sécurité transmet et reçoit uniquement des mises à jour RIP version 2. Toute mise à jour RIP version 1 est éliminée. d. Enable default information originate - Cochez cette case pour générer une route par défaut dans le processus de routage RIP. Vous pouvez configurer une route map qui doit être satisfaite avant que la route par défaut soit générée ▪ Route Map - Entrez le nom de la route-map à appliquer. Le processus de routa- ge génère une route par défaut si la route-map est satisfaite e. IP Network to Add - Définit un réseau IP à ajouter au processus de routage RIP. Le réseau spécifié ne doit pas contenir d'information de sous-réseau. Il n'y a pas de limite au nombre de sous-réseaux que vous pouvez ajouter à la configuration de l'appliance de sécurité. Les mises à jour de routage RIP sont transmises et re- çues uniquement à travers les interfaces des réseaux spécifiés. Ainsi si le réseau d'une interface n'est pas spécifié, l'interface n'est pas annoncée dans la mise à jour RIP ▪ Add - Cliquez sur ce bouton pour ajouter le réseau spécifié à la liste des réseaux ▪ Delete - Cliquez sur ce bouton pour retirer le réseau sélectionné de la liste. f. Passive Interfaces / Global passive - Pour configurer les interfaces de l'appliance de sécurité en mode RIP passif de manière globale, cochez cette case. L'appliance de sécurité écoute les mises à jour de routage RIP sur toutes les interfaces et utili- se l'information pour remplir sa table de routage mais ne diffuse pas de mise à jour. Utilisez le tableau du panneau Passive Interfaces pour spécifier un ensem- ble d'interfaces passives. g. Tableau des interfaces passives - Liste les interfaces configurées sur l'appliance de sécurité. Cochez la case dans la colonne Passive pour les interfaces qui doivent opérer en mode passif. Les autres interfaces transmettent et reçoivent toujours les mises à jour. ccnp_cch

8 ccnp_cch Configurer l'authentification RIP
L'ASA Cisco supporte l'authentification MD5 des mises à jour de routage issues du protocole de routage RIPv2. Le digest MD5 dans chaque paquet RIP évite l'introduc- tion de faux messages de routage non-autorisés de sources non approuvées. L'addi- tion de l'authentification aux messages RIP assure que vos routeurs et l'ASA Cisco acceptent des messages de routage uniquement des autres équipements de routage qui sont configurés avec la même clé pré-partagée. Sans cette authentification confi- gurée si vous introduisez un autre équipement de routage avec des informations con- traire ou différentes de celles de votre réseau, les tables de routage de vos routeurs ou de l'ASA peuvent être corrompues et une attaque de type déni de service peut s'ensui- vre. Quand vous ajoutez l'authentification RIP aux messages transmis entre vos équi- pements de routage, y compris l'ASA, vous évitez l'ajout volontaire ou accidentel d'un autre routeur dans le réseau et des problèmes qui peuvent en découler. L'authentification RIP est configurée par interface. Tous les voisins RIP sur les interfa- ces configurées pour l'authentification de message RIP doivent être configurés avec la même clé et le même mode d'authentification. Exécutez ces étapes pour valider l'authentification RIP MD5 sur l'ASA Cisco Sur l'ASDM, choisissez Configuration> Device Setup> Routing> RIP> Interface et choisissez l'interface inside. Cliquez sur Edit. ccnp_cch

9 2. Cochez la case Enable Authentication key et entrez les valeurs dans les champs
Key et Key ID Cliquez sur OK puis sur Apply. ccnp_cch

10 ccnp_cch Configuration CLI de l'ASA Cisco Cisco ASA
ciscoasa#show running−config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names !−−− Configuration de l'interface Inside interface Ethernet0/1 nameif inside security−level 100 ip address !−−− L'authentication RIP est configurée sur l'interface inside. rip authentication mode md5 rip authentication key <removed> key_id 1 !−−− Partie supprimée !−−− Configuration de l'interface Outside interface Ethernet0/2 nameif outside security−level 0 ip address !−−− Configuration RIP router rip network version 2 !−−− C'est la configuration de la route par défaut !−−− pour atteindre Internet. route outside ccnp_cch

11 Configuration CLI IOS Cisco Routeur R2
interface Ethernet0 ip address ip rip authentication mode md5 ip rip authentication key−chain 1 ! router rip version 2 network network no auto−summary Configuration CLI IOS Cisco Routeur R1 IOS Cisco Routeur R1 router rip version 2 network no auto−summary Configuration CLI IOS Cisco Routeur R3 IOS Cisco Routeur R3 router rip version 2 network ccnp_cch

12 Redistribue les routes OSPF dans RIP
Redistribuer dans RIP avec l'ASA Vous pouvez redistribuer les routes des processus de routage OSPF et EIGRP, les rou- tes statiques et connectées dans le processus de routage RIP. Dans cet exemple, la redistribution des routes OSPF dans RIP est réalisée avec le schéma de réseau suivant: /24 /24 Outside R3 R2 R1 Area 0 ASA Inside /24 .2 .1 /24 /24 /24 /24 Autonomous System Boundary Router (ASBR) Redistribue les routes OSPF dans RIP Router OSPF ccnp_cch

13 ccnp_cch Configuration ASDM
Exécutez ces étapes Configuration OSPF a. Choisissez Configuration> Device Setup> Routing> OSPF dans l'interface de l'ASDM. b. Valider le processus de routage OSPF Setup avec l'onglet Process Interfaces comme le montre l'écran suivant. Dans cet exemple le processus OSPF à l'ID 1. ccnp_cch

14 c. Cliquez sur le bouton Advanced dans l'onglet Process Instances pour configu-
rer des paramètres optionnels avancés du processus de routage OSPF. Vous pouvez éditer des paramètres spécifiques processus tels que le router ID, les changements d'adjacence, les distances administratives des routes, les timers et la génération de la route par défaut. ccnp_cch

15 ccnp_cch Cliquez sur OK.
d. Après avoir exécuté les étapes précédentes, définissez les réseaux et interfaces qui participent au routage OSPF dans l'onglet Area/Networks. Cliquez sur Add. ccnp_cch

16 e. Cet écran est affiché. Dans cet exemple, seul le réseau que nous avons ajouté est le réseau externe ( /24) car OSPF est validé uniquement sur l'interface outside. Note: Seules les interfaces avec une adresse IP qui entre dans les réseaux dé- finis participent au processus de routage OSPF. Cliquez sur OK. f. Cliquez sur Apply. ccnp_cch

17 2. Choisissez Configuration> Device Setup> Routing> RIP> Redistribution> Add
pour redistribuer les routes dans RIP. 3. Cliquez sur OK puis sur Apply. ccnp_cch

18 Configuration CLI de l'ASA pour la redistribution de OSPF dans RIP
Configuration CLI équivalente Configuration CLI de l'ASA pour la redistribution de OSPF dans RIP router rip network redistribute ospf 1 metric transparent version 2 ! router ospf 1 router−id network area 0 log−adj−changes Vous pouvez voir la table de routage du routeur voisin (R2) après la redistribution de routes OSPF dans RIP. R2#show ip route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, su − IS−IS summary, L1 − IS−IS level−1, L2 − IS−IS level−2 ia − IS−IS inter area, * − candidate default, U − per−user static route o − ODR, P − periodic downloaded static route Gateway of last resort is not set /24 is subnetted, 4 subnets R [120/1] via , 00:00:25, Ethernet1 R [120/1] via , 00:00:20, Serial1 C is directly connected, Ethernet1 C is directly connected, Serial1 /8 is variably subnetted, 2 subnets, 2 masks C /24 is directly connected, Ethernet0 R /26 [120/1] via , 00:00:06, Ethernet0 R /24 [120/1] via , 00:00:05, Ethernet0 /32 is subnetted, 1 subnets R [120/12] via , 00:00:05, Ethernet0 /32 is subnetted, 1 subnets R [120/12] via , 00:00:05, Ethernet0 !−−− Routes redistribuées annoncées par l'ASA Cisco ccnp_cch

19 Vérification ccnp_cch
Exécutez ces étapes pour vérifier votre configuration Vous pouvez vérifier la table de routage en naviguant vers Monitoring> Routing> Routes. Vous pouvez voir que les réseaux /24, /24, /24 et /24 sont appris via R2 ( ) avec RIP. 2. A partir de la CLI, vous pouvez utiliser la commande show route pour obtenir les mêmes résultats. ciscoasa#show route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is not set R [120/2] via , 0:00:10, inside R [120/2] via , 0:00:10, inside R [120/1] via , 0:00:10, inside R [120/1] via , 0:00:10, inside C is directly connected, inside C is directly connected, dmz S [1/0] via , dmz C is directly connected, outside O [110/11] via , 0:34:46, outside O [110/11] via , 0:34:46, outside ciscoasa# ccnp_cch

20 Résolution de problèmes
Cette section comprend des informations qui peuvent être utiles pour résoudre des problèmes liés à RIP. Commandes pour résolution de problèmes  debug rip events - Valide le debugging des évènements RIP. ciscoasa#debug rip events rip_route_adjust for inside coming up RIP: sending request on inside to RIP: received v2 update from on inside via in 1 hops via in 1 hops via in 2 hops via in 2 hops RIP: Update contains 4 routes RIP: sending v2 flash update to via dmz ( ) RIP: build flash update entries via , metric 1, tag 0 via , metric 2, tag 0 via , metric 2, tag 0 via , metric 3, tag 0 via , metric 3, tag 0 RIP: Update contains 5 routes RIP: Update queued RIP: sending v2 flash update to via inside ( ) RIP: build flash update entries − suppressing null update RIP: Update sent via dmz rip−len:112 RIP: sending v2 update to via dmz ( ) RIP: build update entries via , metric 1, tag 0 via , metric 12, tag 0 via , metric 12, tag 0 RIP: Update contains 8 routes RIP: sending v2 update to via inside ( ) via , metric 1, tag 0 ccnp_cch

21 ccnp_cch RIP: Update contains 4 routes RIP: Update queued
RIP: Update sent via dmz rip−len:172 RIP: Update sent via inside rip−len:92 RIP: received v2 update from on inside via in 1 hops via in 1 hops via in 2 hops via in 2 hops ccnp_cch

Télécharger ppt "- Configuration ASA/PIX"

Présentations similaires

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)

Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
MPLS - Configuration d'un VPN MPLS basique

MPLS - Configuration d'un VPN MPLS basique
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Présentation du Routage

Présentation du Routage
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
OSPF - Comment OSPF génère les routes par défaut

OSPF - Comment OSPF génère les routes par défaut
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Configuration OSPF Multi-Area

Configuration OSPF Multi-Area
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
OSPF - Résolution de problèmes

OSPF - Résolution de problèmes

Présentations similaires

Annonces Google