Verständnis der acht niedrigen Befehle auf einem Sicherheits-Gerät Cisco-ASA

Durch: Don R. Crawley
[

] [Pfosten zu den Bookmarks @ AfroArticles.com]

[An bekannt gegeben: 2008-04-15]

Es gibt buchstäblich Tausenden Befehle und Unterbefehle, die, ein Cisco-Sicherheitsgerät zu konfigurieren vorhanden sind. Da Sie Wissen des Gerätes gewinnen, verwenden Sie immer mehr von den Befehlen. Zuerst jedoch gibt es gerade einige Befehle, die benötigt werden, um grundlegende Funktionalität auf dem Gerät zu konfigurieren. Grundlegende Funktionalität wird definiert, wie, inneren Hauptrechnern erlaubend, außerhalb der Hauptrechner zurückzugreifen, aber äußere Hauptrechner auf die inneren Hauptrechner nicht, zurückgreifen lassend. Zusätzlich muss Management von mindestens einem inneren Hauptrechner erlaubt werden. Sind hier acht grundlegende Befehle:

** Schnittstelle **

Der Schnittstellenbefehl identifizierent entweder die Hardware-Schnittstelle oder die VLAN Schnittstelle, die konfiguriert werden. Einmal im Schnittstellenkonfigurationsmodus, können Sie körperliche Schnittstellen Switchports zuweisen und sie (schalten Sie sie) ein oder Sie zu aktivieren kann Namen und Sicherheitsstufen VLAN Schnittstellen zuweisen.

** nameif **

Der nameif Befehl gibt der Schnittstelle einen Namen und weist eine Sicherheitsstufe zu. Typische Namen sind draußen, innerhalb oder DMZ.

** Sicherheitstufe **

Sicherheitsstufen werden durch das Gerät benutzt, um Verkehrsstrom zu steuern. Verkehr wird die Erlaubnis gehabt, um von den Schnittstellen mit Stufen der höheren Sicherheit zu den Schnittstellen mit untereren Sicherheitsstufen zu fließen, aber nicht von der anderen Methode. Zugriff-Listen müssen benutzt werden, um Verkehr zu ermöglichen, von den untereren Sicherheitsstufen zu den Stufen der höheren Sicherheit zu fließen. Sicherheitsstufen reichen von 0 bis 100. Die Rückstellungssicherheitsstufe für eine äußere Schnittstelle ist 0. Für eine innere Schnittstelle ist die Rückstellungssicherheitsstufe 100.

In der folgenden Beispielkonfiguration wird der Schnittstellenbefehl zuerst, die inneren und äußeren VLAN Schnittstellen zu benennen verwendet, dann wird die DMZ Schnittstelle benannt und ein Sicherheitsniveau von 50 wird ihm zugewiesen.

ciscoasa (Config) # Schnittstelle vlan1
ciscoasa (config-wenn) # nameif nach innen
Info: Sicherheitsstufe für „Innere“ stellte bis 100 durch Rückstellung ein.
ciscoasa (config-wenn) # Schnittstelle vlan2
ciscoasa (config-wenn) # nameif draußen
Info: Sicherheitsstufe für „Außenseite“ stellte bis 0 durch Rückstellung ein.
ciscoasa (config-wenn) #interface vlan3
ciscoasa (config-wenn) # nameif dmz
ciscoasa (config-wenn) # Sicherheitstufe 50

** IP address **

Der IP addressbefehl weist ein IP address einer VLAN Schnittstelle entweder statisch zu oder indem er es einen DHCP-Klienten bildet. Mit modernen Versionen der Sicherheitsgerätesoftware, ist- es nicht notwendig, Rückstellungsteilnetzschablonen ausdrücklich zu konfigurieren. Wenn Sie nichtstandardisierte Schablonen benutzen, müssen Sie die Schablone ausdrücklich konfigurieren, aber anders, ist es nicht notwendig.

In der folgenden Beispielkonfiguration wird ein IP address VLAN 1, die innere Schnittstelle zugewiesen.

ciscoasa (config-wenn) # Schnittstelle vlan 1
ciscoasa (config-wenn) # IP address 192.168.1.1

** Switchportzugriff **
Switchportzugriffsbefehl auf dem Sicherheitsgerät ASA-5505 weist eine körperliche Schnittstelle einer logischen Schnittstelle (VLAN) zu. Im Folgenden Beispiel wird der Schnittstellenbefehl, um körperliche Schnittstellen zu identifizierenen, sie Switchports auf dem Gerät zuzuweisen, und sie (schalten Sie sie), durch ein den Gebrauch von der Anweisung „keiner Abschaltung“ zu aktivieren verwendet.

ciscoasa (config-wenn) # Schnittstellen-Ethernet 0/0
ciscoasa (config-wenn) # Switchportzugriff vlan 2
ciscoasa (config-wenn) # keine Abschaltung
ciscoasa (config-wenn) # Schnittstellen-Ethernet 0/1
ciscoasa (config-wenn) # Switchportzugriff vlan 1
ciscoasa (config-wenn) # keine Abschaltung

** national **

Der nationale Befehl aktiviert Endsystemadresseübersetzung auf der spezifizierten Schnittstelle für das spezifizierte Teilnetz.

In dieser Probe wird Konfiguration, NAT auf der inneren Schnittstelle für Hauptrechner auf 192.168.1.0 /24 Teilnetz aktiviert. Die Nr. „1“ ist der NAT Identifikation, der durch den globalen Befehl, eine Generaladresse oder ein Pool mit den inneren Adressen zu verbinden verwendet wird. (Anmerkung: NAT 0 wird verwendet, um die spezifizierte Gruppe von Adressen an übersetzt werden zu verhindern.)

ciscoasa (Config) # nationales (nach innen) 1 192.168.1.0 255.255.255.0

** global **

Der globale Befehl arbeitet mit dem nationalen Befehl. Er identifizierent die Schnittstelle (normalerweise draußen) durch die Verkehr von nat'ed Hauptrechnern (normalerweise Innerehauptrechner) fließen muss. Er identifizierent auch die Generaladresse, die Hauptrechner verwendet, um an die Außenwelt anzuschließen nat'ed.

In der folgenden Probe verbanden die Hauptrechner mit NAT Identifikation. 1 verwendet die Generaladresse 12.3.4.5 auf der äußeren Schnittstelle.

ciscoasa (Config) # globales (draußen) 1 12.3.4.5

In diesem zusätzlichen Beispiel des Gebrauches von dem „globalen“ Befehl, erklärt die Schnittstellenanweisung der Brandmauer, die die Hauptrechner dieser ist, die mit NAT Identifikation verbunden sind. 1 verwendet die DHCP-zugewiesene Generaladresse auf der äußeren Schnittstelle.

ciscoasa (Config) # globale (draußen) 1 Schnittstelle

** Weg **

Der Wegbefehl, in seiner grundlegendsten Form, weist ein default route für Verkehr, gewöhnlich dem Fräser eines ISPs zu. Er kann in Verbindung mit Zugrifflisten auch verwendet werden, um spezifische Verkehrsarten zu den spezifischen Hauptrechnern auf spezifischen Teilnetzen zu schicken.

In dieser Beispielkonfiguration wird der Wegbefehl, ein default route zum Fräser des ISPs bei 12.3.4.6 zu konfigurieren verwendet. Die zwei null vor der Fräseradresse des ISPs sind Stenografie für ein IP address von 0.0.0.0 und eine Schablone von 0.0.0.0. Die Anweisungaußenseite identifizierent die Schnittstelle, durch die Verkehr fließt, um das default route zu erreichen.

ciscoasa (config-wenn) # Weg außerhalb 0 0 12.3.4.6

Die oben genannten Befehle stellen eine sehr grundlegende Brandmauer her, aber aufrichtig, unter Verwendung einer hoch entwickelten Einheit wie Cisco PIX oder ASA-Sicherheitsgerät, solche grundlegenden Brandmaueraufgaben ist wahrzunehmen Übermaß. Andere Befehle zu verwenden umfassen hostname, um die Brandmauer, das telnet oder das SSH zu identifizierenen, um Fernverwaltung, DHCPD Befehle, die Brandmauer IP address inneren Hauptrechnern zuweisen zu lassen, und statische Weg- und Zugrifflistenbefehle zu erlauben, internen Hauptrechnern wie DMZ web server oder DMZ Mail-Server zu erlauben, zu den Internet-Hauptrechnern zugänglich zu sein.

Copyright (c) Don 2008 R. Crawley

Artikel-Quelle: http://www.afroarticles.com/article-dashboard

Über den Autor: Don R. Crawley, CCNA-bestätigt, ist der Präsidenten- und Leitertechnologe bei soundtraining.net, das Seattle die feste Spezialisierung auf Geschäftsfähigkeiten und technische Trainingskurse für ES ausbildend Fachleute. Er arbeitet mit I.T. Pro, um ihre Arbeit, Lebensdauern und Karrieren zu erhöhen. Zu Information über soundtraining.net ' klicken s-Trainingsseminare für das Sicherheits-Gerät Cisco-ASA, bitte hier.

& Ansicht-Profil u. alle Artikel vorbei: Don R. Crawley &

		Pfosten-Kommentar
		Blog dieser Artikel!
		Behandeln Sie Artikel in den Foren
		Publikation & Neuauflagen-Ausdrücke

Bewerten Sie bitte diesen Artikel

Nicht schon steuerpflichtig

Klicken Sie die XML Ikone oben an, um Vernetzungs-Artikel über RSS zu empfangen!

& Kategorien-Zufuhren & Einteilige Zufuhr & Andere Zufuhr-u. Syndikatsbildung-Optionen &

Zusätzliche Artikel von - Haupt & Computer & Vernetzung

Warum Linksys eins des beste preiswerte drahtlose Fräser-vorhandenen heutigen Tages - vorbei ist: Sean Walters
Netz-Zeit: NTP-Server-Systeme - vorbei: David Evans
NTP-Server-Systeme – das Network Time Protocol - vorbei: David Evans
Ein Überblick über die Computernetz-Einheiten u. die Bestandteile - vorbei: Fiza Ali
Vermittlungsprotokolle - vorbei: uCertify
EMail und Netz-Sicherheit - vorbei: A. Ecke
Das ISO-Referenzmodell - ein Hilfsmittel für ES Bescheinigung-Anwärter u. Vernetzungs-Fachleute - vorbei: James Opiko

Melden Sie sich für ein freies Konto an oder erlernen Sie mehr & Bauteil-LOGON &
Unterordnung-Korrekturlinien &

	Drucken Sie diesen Artikel
	Geben Sie Kommentar bekannt
	Fügen Sie Lieblingen hinzu
	EMail zu den Freunden
	Ezine betriebsbereit & Syndikatsbildung
	Bilden Sie pdf-Artikel
	Pfosten zu del.icio.us
	Pfosten zu Furl
	Fügen Sie Google-Bookmarks hinzu
	Geben Sie bei Netscape ein
	Fügen Sie Yahoo! hinzu Mein Web
	Fügen Sie Hauptzufuhr Aussicht hinzu
	Pfosten zu den Bookmarks @ AfroArticles.com

	Pfosten zu BookMarkAfrica.com