Không thể cấu hình đúng Cisco-ASA 5505

Tôi đã ở đây được 2 ngày, đã trải qua vô số diễn đàn và hướng dẫn cho đến khi cấu hình ASA-5505 của tôi. Tôi không thể truy cập internet (thậm chí sử dụng ping từ ASA), tôi không thể "nhìn thấy" ASA trên mạng .. Về cơ bản, đó là một phần cứng đã chết ngoài Bảng điều khiển. Modem của tôi cũng đã được đặt ở chế độ bắc cầu. Đây là hướng dẫn tôi đã làm theo: TẠI ĐÂY .. Không chắc chắn sẽ đi đâu tiếp theo .. Vlan "bên ngoài" dường như bị định cấu hình sai, và tôi đã thử rất nhiều lần thẩm thấu, rằng tôi chắc chắn rằng tôi đang xem xét một điều gì đó quan trọng và rõ ràng. Khi tôi có thể ping 8.8.8.8, từ ASA, tôi sẽ rất vui!

Dưới đây là cài đặt Comcast của tôi:

Gateway MAC Address           78:CD:8E:D9:FB:34
WAN MAC Address               78:CD:8E:D9:FB:37
WAN DHCP IP Address           50.135.170.116
WAN DHCP IPv6 Address         ::/64
WAN DHCP IPv6 DNS (primary)   ::
WAN DHCP IPv6 DNS (secondary) ::
WAN DHCP Subnet Mask          255.255.254.0
WAN DHCP Default Gateway      50.xx.xx.1
WAN Internet IP Address       74.xx.xx.230
DNS (primary)                 75.75.75.75
DNS (secondary)               75.75.76.76
DHCP Time Remaining           92h:42m:22s
Internal Gateway IP Address   10.1.10.1
Internal Subnet Mask          255.255.255.0
INTERNAL DHCP                 DISABLED

Đây là cấu hình ASA của tôi:

ASA Version 8.2(5)
!
hostname DTS-ASA
enable password xxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxx encrypted
names
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
 shutdown
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.1.10.100 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 74.xx.xx.230 255.255.255.248
!
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 10.1.10.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 74.xx.xx.230 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username cisco password ZBZ8GNEdrJsjFvsR encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
 service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:86f051cb52af3d343c52cf1a222c6901
: end

Liên kết Tôi đã nói, có lẽ tôi đang thiếu một cái gì đó quan trọng và rõ ràng, tuy nhiên có một nền tảng phát triển mạng là một khái niệm hơi xa lạ.

cisco cisco-asa firewall

— Zak
nguồn

Cấu hình đang chạy của bạn cho thấy tuyến đường mặc định route outside 0.0.0.0 0.0.0.0 74.xx.xx.230 1có thể đang sử dụng cùng một địa chỉ IP với giao diện bên ngoài của bạnip address 74.xx.xx.230 255.255.255.248

— one.time

Các chi tiết cài đặt "Comcast" mà họ đã cung cấp cho bạn hoặc cấu hình từ thiết bị CPE từ Comcast? Nếu sau này, thì bạn nên sử dụng mạng con 10.1.10.100/24 trên giao diện bên ngoài của ASA, chứ không phải bên trong. Chọn một mạng con mới cho bên trong.

— YLearn

Trông giống như một bản sao của địa chỉ 74.xx230 với thiết bị Comcast của bạn và ASA cho người mới bắt đầu.

— generalnetworkerror

Câu trả lời:

Vlan "bên ngoài" dường như bị định cấu hình sai và tôi đã thử rất nhiều lần thẩm thấu, rằng tôi chắc chắn rằng tôi đang xem xét một cái gì đó quan trọng và rõ ràng. Khi tôi có thể ping 8.8.8.8, từ ASA, tôi sẽ rất vui!

Cấu hình cơ bản

Như những người khác đã đề cập, cấu hình của bạn là "tối ưu" ... ~~vấn đề lớn nhất bạn gặp phải là bạn không sử dụng DHCP trên giao diện Vlan bên ngoài~~ , vấn đề lớn nhất là địa chỉ gw mặc định của bạn được gán cho Vlan2 ... để khôi phục , đăng nhập vào bảng điều khiển và ...

copy runn flash:foobar.cfg
config t
configure factory-default 10.1.10.100 255.255.255.0

Trong khi bạn đang ở chế độ cấu hình, hãy sử dụng cấu hình này ...

hostname DTS-ASA
password ChangeMeNow
enable password ChangeMeNow
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Vlan2
 ! I don't think you need this, since it's an SMC MAC addr
 ! However, this illustrates how you can manually change the mac
 ! on your outside Vlan, if Comcast is restricting you
 ! to one mac (and now refuses to change it)
 ! mac-address 78cd.8ed9.fb37
 nameif outside
 security-level 0
 ip address 74.xx.xx.225 255.255.255.248
!
route outside 0.0.0.0 0.0.0.0 74.xx.xx.230
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
end
wr mem

Vui lòng thay đổi mật khẩu: -) ... bây giờ bạn cần quy tắc fw, nhưng đó là một vấn đề khác

Xác thực mạng WAN

Đảm bảo rằng bạn thực sự có modem Comcast được gắn vào Eth0 / 0 ... Sau khi bạn khởi động và chạy, bạn sẽ có thể kiểm tra địa chỉ bạn nhận được từ Comcast như thế này ...

DTS-ASA# sh int vlan2
Interface Vlan2 "outside", is up, line protocol is up
  Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
        MAC address 0030.dead.beef, MTU 1500
        IP address 74.xx.xx.225, subnet mask 255.255.255.248     <------------
  Traffic Statistics for "outside":
        108703406 packets input, 119199091796 bytes
        69134254 packets output, 8083775282 bytes
        1654709 packets dropped
      1 minute input rate 2 pkts/sec,  280 bytes/sec
      1 minute output rate 3 pkts/sec,  414 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 3 pkts/sec,  716 bytes/sec
      5 minute output rate 4 pkts/sec,  520 bytes/sec
      5 minute drop rate, 0 pkts/sec
DTS-ASA#

Sau đó kiểm tra ping của bạn đến DNS của google ...

DTS-ASA# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/18/20 ms
DTS-ASA#

Nếu không, hãy chắc chắn rằng bạn có thể ping mặc định-gw ...

DTS-ASA# sh route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 74.xx.xx.230 to network 0.0.0.0

C    74.xx.xx.230 255.255.255.248 is directly connected, outside
C    10.1.10.0 255.255.255.0 is directly connected, inside
d*   0.0.0.0 0.0.0.0 [1/0] via 74.xx.xx.230, outside          <------
DTS-ASA#
DTS-ASA# ping 74.xx.xx.230

— Mike Pennington
nguồn

Cảm ơn bạn đã Giải thích chi tiết của bạn .. Tôi sẽ cố gắng điều đầu tiên này và báo cáo lại ..

— Zak

Tôi đã làm như bạn đã giải thích, tuy nhiên từ google ping tôi nhận được No route to host 8.8.8.8và Gateway of last resort is not set .. Suy nghĩ? Kết quả tương tự khi ping 10.1.10.100

— Zak

Bạn không nhận được mặc định từ DHCP ... bạn thậm chí có nhận được địa chỉ không? Hãy để chúng tôi tiếp tục cuộc thảo luận trong trò chuyện

— Mike Pennington

Tiêu cực .. kết quả sh int vlan2làIP address unassigned

— Zak

-1

Gần đây tôi đã trải qua giai đoạn tương tự, không tìm kiếm các vấn đề về cấu hình ở trên, 3 điều tôi muốn nói nếu bạn không biết bạn đang làm gì và muốn kết nối ASA với internet

Khôi phục thiết bị về mặc định (có thể bạn có nhiều cấu hình sai) Sử dụng loại kết nối bảng điều khiển http 0.0.0.0 0.0.0.0 INSIDEvà http 0.0.0.0 0.0.0.0 OUTSIDEđể bạn có thể truy cập ASA bằng ASDM
Với Giấy phép cơ sở, bạn sẽ có 2 Vlan (ONE Side sẽ là internet, bên kia có thể là mạng nhà của bạn) Theo mặc định, Int F0 / 0 sẽ là phía internet (Vlan 2) khi bạn thực hiện khôi phục, hãy biết thông tin Mạng con cho mỗi Vlan. CÓ NÓ S DI KHÁC NHAU cho mỗi người, bạn tính toán điều này.
Tạo tuyến mặc định trên ASA bằng cách sử dụng loại hướng dẫn 0.0.0.0 0.0.0.0 XXXX (INTERNETMODEADDRESS, bước nhảy tiếp theo)
Tạo Quy tắc danh sách truy cập trên giao diện bên ngoài để cho phép thay thế ICMP, nếu bạn không làm điều này, thì KHÔNG CÓ CÁCH NÀO CỦA BẠN ĐẾN 8.8.8.8 sẽ trả lời lại cho bạn.

Hy vọng ai đó tìm thấy điều này hữu ích. Đây là 2 ngày của tôi trong quá trình khám phá.

— D Singh
nguồn

0.0.0.0 không có nghĩa là "bất kỳ" - chúng khác nhau!

— SamAndrew81