Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Podesavanje Cisco ASA 5506-X with FirePOWER rutera

[es] :: Enterprise Networking :: Podesavanje Cisco ASA 5506-X with FirePOWER rutera

[ Pregleda: 1122 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

code-net
Bosna i Hercegovina

Član broj: 338543
Poruke: 4
*.teol.net.



Profil

icon Podesavanje Cisco ASA 5506-X with FirePOWER rutera09.05.2018. u 11:19 - pre 5 meseci
Postovani,
Pokusacu sto jednostavnije da opisem kako zelim da podesim ruter, kako je to trenutno uradjeno i koji su problemi.

Trenutno se radi samo o jednom opsegu, u skorije vrijeme ce biti potreban i drugi opseg adresa ali da u potpunosti bude jednak sa trenutnim.
Sada je na ruteru kada neko pristupi u nasu lokalnu mrezu pravilo da ima LAN (na osnovu toga svi mogu kroz odredjene naloge na serveru pristupiti istom i imaju razne mogucnosti u zavisnosti od naloga kojim se povezu sa serverom). Svima je blokiran izlaz na internet.

https://ibb.co/niRNon

U Firewallu u Objects > Network Objects/Groups imam grupu pod nazivom "Grupa_koja_ima_net"
Kada se uredjaj spoji u LAN mrezu dobije nas IP koji ja unesem u ovu grupu, imenujem uredjaj i on dobije prolaz na internet.

https://ibb.co/d2dUZS

Problem nastaje kada ti uredjaji (koje nigdje ne vezem za MAC, vec propustam samo kroz IP) budu van mreze a DHCP Lease Lenght istekne koji sam stavio na 5 dana. Ti uredjaji kada nakon tog vremena dodju ponovo u mrezu dobiju novi IP a rutrer taj koji sam pustio na net i imenovao npr da nekom ko ne smije imati izlaz na net. Tu nastaje zivi haos.

https://ibb.co/kS2Z17

Ranije sam imao ruter gdje je bilo slicno podesavanje (Cisco RV320 Dual Gigabit WAN VPN Router) medjutim kada sam propustao nekoga u listu na net, ip sam morao vezati za MAC (DHCP se osvjezavao svaka 2 sata), neki uredjaji su znali biti mjesecima van mreze kada se vrate dobijali su uvijek istu IP adresu. Taj ruter je zamjenjen jer je imao ogranicenja, nakon odredjenog broja propustanja izbaci gresku "fatal error" gdje moram nekog obrisati da bi drugog mogao pustiti i stalno je padao tako da se morao fizicki restartovati pa smo dobili preporuku za kupovinu ovog sada modela.

Ovo je prvi korak i najhitniji mi je jer 12.05. cu imati istek DHCP Lease Lenghta za preko 50 racunara.

Pored ovog pravila koje mi je najvaznije zelio bi da kreiram jos grupu koja ima izlaz na internet ali uz odredjene blokade prema nekim sajtovima.
Treba mi i grupa koja ima blokiran net ali joj prolaze samo mejlovi (mail server zakupljujemo kod jednog hosting posluzitelja i pristupamo preko mail klijenata neko preko IMAP neko POP3 podesavanja, odlazni i dolazni portovi su nam poznati :: mail.ime-firme.biz)

Unaprijed hvala svima koji se ukljuce u diskusiju da pomognu.
 
Odgovor na temu

Qazio
Svasta nesto
JP Morgan

Član broj: 319672
Poruke: 34
*.dynamic.sbb.rs.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera09.05.2018. u 17:21 - pre 5 meseci
Mislim da imas pogresan pristup resenju problema, zato imas takve greske.

Odmah da razjasnimo, 5506 nije ruter to je firewall, ali koncept resenja bi trebao ostati isti.
U svakom slucaju kucanje celog koda bi bilo preopsirno, pa evo teoretski koncept resenja.
Cim kacis 50 racunara, to znaci da moras imati neki svic iza ase, nadam se da je to Cisco svic, pa cu pokusati da ti teoretski pojasnim sta trebas uraditi sa tom pretpostavkom.
Na svicu bi trebalo da kreiras u tvom slucaju 3 VLAN-a i svakom da dodelis odredjen scope, recimo ovako nesto

VLAN 1 —> 192.168.1.0 255.255.255.0
VLAN 2 —> 192.168.2.0 255.255.255.0
VLAN 3 —> 192.168.3.0 255.255.255.0

Posto je Cisco koliko sam upoznat sa novim verzijama ASA odustao od VLAN, to znaci da bi trebao da kreiras na asi sub interface na nivou fizickog interface kojim povezujes asa sa svicem, i svakom od tih sub interface da dodelis ip adresu koja ce zapravo biti GW odredjenom VLAN-u, nesto ovako

interface GigabitEthernet1/2.1
vlan 1
nameif INSIDE
security-level 100
ip address 192.168.1.254 255.255.255.0

i onda bi 192.168.1.254 bio GW za vlan 1 respektivno

Da bi izlazili na net moras uraditi NAT na ASA koristeci access listu i u tu access listu bi dodao scopove za VLAN 2 i VLAN 3.
Posto ne radis NAT za VLAN 1 oni i ne mogu ici na net.

Na sub interface GigabitEthernet1/2.3 bi dodao jednu access listu u kojoj bi imao dva reda i to gde ces dozvoljavati saboracaj tako sto ce source biti scope vlan 3, destination any (ili ako znas ip svog mail servera) eq (port koji poznajes za mail) i primeniti tu access listu u out smeru na navedeni sub interface.

Naravno dhcp bi podesio da izdaje IP adrese iz navedenih scope za sva tri VLAN-a i to je zapravo resenje koje treba da primenis
Pozdrav
 
Odgovor na temu

code-net
Bosna i Hercegovina

Član broj: 338543
Poruke: 4
*.teol.net.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 10:40 - pre 5 meseci
Sa rutera je diektno povezan jedan HP switch od 24 porta. Sa tog switcha povezan iz jednog porta prosiren je na jos jedan HP switch takodje od 24 porta.
Svaki pogon u firmi dalje ima svoj centralni switch koji dovodim u jedan od ova dva hp-ova switcha.
Takodjer jedan dio firme koji je udaljen oko 2 km povezujem optikom, ali nema razlike u odnosu dijelove firme koji su povezani samo mreznim kablom.

Vecina switcheva nisu upravljivi, jedan ili dva ev.

Grupi prikaz mreze: https://ibb.co/bCLgWJ
- ovdje nije sve ucrtano, ali to je glavna mreza, na pojedine switcheve kace se neki manji dijelovi unutar nekog pogona gdje se fizicki nije moglo izvesti da dodje direktna veza na centralni switvh u server sobi.

Postoje tu i wifi ruteri ali na njima je DHCP ugasen i nisu "ubodeni" u WAN nego LAN port tako da samo proslijede IP od samog rutera.

Mene sad zanima da li mozda osim ovog nacina na ovom trenutnom ASA uredjaju mogu ove adrese koje je ruter vec dodijelio vezati za MAC adresu, definisati kao staticke (na ruteru, ne da ih kucam na savki uredjaj)?


** Ista rasprava i na Cisco forumu:
https://supportforums.cisco.co...firepower-routers/td-p/3381150
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2104

ICQ: 49345867
Sajt: https://www.twinstarsyste..


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 11:42 - pre 5 meseci
Ti hoces da imas staticku rezervaciju IP adresa na osnovu MAC adrese? Da ti jedan isti MAC uvec dobije isti IP?

To, koliko ja znam, ne moze ASA da ti odradi. Nesto sam pratio to svojevremeno i, koliko sam ispratio, feature nikad nije dodat.

Ako si siguran da hoces tako, digni DHCP server odvojeno na serveru. Vodi racuna da ti to nije nikakav security, niko mene ne sprecava da ja iskljucim DHCP na klijentu i da rucno zadam sebi IP adresu.
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

code-net
Bosna i Hercegovina

Član broj: 338543
Poruke: 4
*.teol.net.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 12:03 - pre 5 meseci
Da upravo to. Tako sam imao na starom ruteru koji sam koristio. On je u sebi imao black/white list gdje sam ja ukljucio svima blokadu osim ako nisu na listi.
Kada dodajem nekoga u listu osim ip morao je biti i mac i radilo je upravo ono sto meni treba. Kako sam vec rekao ruter je imao dosta problema nakon sto je mreza naglo dobila veci broj korisnika.

Da ali ako neko sam sebi doda rucno ip to ga nece pustiti na net jer se mac nebi poklapao.

Mada to mi nije problem, uvijek kada bi to neko uradio ja mogu otici na taj racunar i pustiti mu automatski DHCP blokirati kroz administratorski nalog edit bez sifre i rijesen problem.
Do sada sam imao iskustvo da ljudi nisu nista radili na takav nacin, ne radi se o informatickoj firmi pa omah zovu da im se rijesi ako nesto nije uredu.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4370

Sajt: www.bachi.in.rs


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 12:48 - pre 5 meseci
A da jednostavno povećaš lease time?
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> vladimir@vucicevic.in.rs
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

code-net
Bosna i Hercegovina

Član broj: 338543
Poruke: 4
*.teol.net.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 12:54 - pre 5 meseci
@bachi

To sam i uradio, ali ne moze to biti rjesenje.
U tom slucaju problematicne su situacije kod laptopa i telefona koji ne budu npr. po nekoliko mjeseci u firmi a imaju izlaz na net jer se radi o vaznim gostima.
Lease time istekne, u medjuvremenu tu adresu dobije neko drugi i ima sva prava kao i taj gost (kod mene u ruteru pise ime i prezime gosta).
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2104

ICQ: 49345867
Sajt: https://www.twinstarsyste..


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 14:02 - pre 5 meseci
A da podignes standalone DHCP server ? Mislim, DHCP... bukvalno mozes na Raspberry Pi.
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4370

Sajt: www.bachi.in.rs


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.05.2018. u 19:54 - pre 5 meseci
Telefone prebaci na poseban VLAN.
Wifi za goste na poseban VLAN.

Laptopove i desktopove na poseban i kako imaš 150 ip adresa, a /24 subnet ima 254 adrese na raspolaganju, bez mobilnih i wifija za goste neće biti problema. A kako nismo više na koaksijalnom ethernetu, čak ni /23 subnet ne bi predstavljao problem sa broadcastom, te bi imao na raspolaganju 510 ip adresa.

Mislim tema za razmišljanje, ja isto na jednoj lokaciji puštam po IP adresi izlaz na net, ali mac adrese vezujem za DHCP.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> vladimir@vucicevic.in.rs
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

komplikator
Programer / sys. inženjering
CRO

Član broj: 29755
Poruke: 158
*.kronovision.zv.cust.gts.sk.

ICQ: 13387003


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera09.08.2018. u 12:49 - pre 2 meseca
Ako si to možeš financijski i tehnički dopustiti bilo bi dobro da malo razradiš mrežu i podijeliš segmente tj. role.

Netko ti je već rekao ASA 5506 je firewall. Također, trebalo bi sve razbiti na VLAN-ove. i routanu mrežu tj. staviti L3 core switch. U tom slučaju ASA je firewall i radi razne security zadatke, L3 switch radi intervlan routing, a na njemu (kažeš da imaš HP) na nivou VLAN-a. možeš postaviti DHCP helper koji bi mogao upućivati na DHCP server i za svaki VLAN radiš određeni scope. Tamo svakom klijentu (ako klijent za taj VLAN dinamički dohvaća IP postavke) fino zadaš defaultni gateway za tu mrežu, u tom slučaju ti je core switch koji tradi translacije defaultni gateway. E sad, kakav ćeš DHCP odabrati to je već pitanje, u svakom slučaju kad već pišeš na "enterprise podforumu" logika kaže jedan server/virtualka/kako god i kombinacija "Sveto Trojstvo" AD/DHCP/DNS.

Primjerice cijelu mrežu zadaš kao 10.10.x.x, i gradiš VLANOve npr. VLAN 2: 10.10.2.0/24 dg: 10.10.2.254 za klijente, VLAN 2: 10.10.3.0/24 dg: 10.10.3.254 za telefone, VLAN 3: 10.10.3.0/24 dg: 10.10.3.254 za telefone, VLAN 2: 10.10.254.0/24 dg: 10.10.254.253 za goste (ovo je posebna priča, gdjde je ovaj .253 IP dodatnog hardverskog porta na ASA-i. i praktički routanje i cijeli guest promet seliš i odvajaš sa core switcha na firewall i tamo sve peglaš kroz ACL-ove.). Itd, itd... Onda si riješio i problem puštanja gosta kroz wireless (njima na wirelessu kreiraš podebnu mrežu i VLAN i WLAN i odvajaš ih od svoje mreže već na AP-u.) i još puno drugih stvari za budućnost.

I ne znam što će ti kolege reći no HP i Cisco se baš uvijek ne vole u svim segmentima. Meni je 90% opreme HP, firewalli (2 x ASA 5506-X u clusteru, 2 x ASA5508-X u clusteru), 2 x CUBE i 2 x UCS (CUCM) su Cisco. No imam problema između UCS-ova. i 5406 zl2 core switcha, gdje se HP i Cisco ne mogu izdogovarati oko link agregacije tj. Etherchanel-a ili ti Port trunkinga po HP terminologiji.

Jesu li ti ova dva core switcha stackana ili između barem imaš neki ether chanell? Isto vrijedi i prema ovim 24 portnim switchevima po odjelima. I ako ideš u priču s VLAN-ovima. trebali bi svi switchevi bili managed i 802.1Q aware, inače ćeš svaki switch moći iskoristiti samo za jedan vlan (npr. na jednom samo računala, no ne i IP telefoni ili printeri, ili WiFi, gosti i sl.). No ovo ode već daleko od onog što si pitao.
God is real unless is declared as integer.
 
Odgovor na temu

Marcony
Network Engineer
Beograd

Član broj: 10486
Poruke: 1778
*.dynamic.isp.telekom.rs.

Sajt: timnetworks.rs


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.08.2018. u 07:24 - pre 2 meseca
Citat:
komplikator:I ne znam što će ti kolege reći no HP i Cisco se baš uvijek ne vole u svim segmentima. Meni je 90% opreme HP, firewalli (2 x ASA 5506-X u clusteru, 2 x ASA5508-X u clusteru), 2 x CUBE i 2 x UCS (CUCM) su Cisco. No imam problema između UCS-ova. i 5406 zl2 core switcha, gdje se HP i Cisco ne mogu izdogovarati oko link agregacije tj. Etherchanel-a ili ti Port trunkinga po HP terminologiji.



Slazem se sa ovim... Iako je ovo tehnoloski veoma zrela funkcija, i dalje postoje problemi izmedju razlicitih vendora.
...
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 174
*.dynamic.isp.telekom.rs.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.08.2018. u 07:45 - pre 2 meseca
Zdravo,

mozes li podeliti deo konfiguracije koji se odnosi na link agregaciju izmedju Cisco i HP strane ?

Kod ovih mesovitih HP/Cisco okruzenja (posebno ako neko dolazi sa Cisco predznanjima) - dosta pomaze HP Cisco CLI reference guide . Sekcija 20, strana 359 adresira link agregaciju i daje uporedne konfiguracije.


Poz,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2104

ICQ: 49345867
Sajt: https://www.twinstarsyste..


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.08.2018. u 08:29 - pre 2 meseca
Nisam siguran da njemu treba ovo... On pravi LACP na HP Switchu na koji kaci CUCM, tj. UCS masinu. Server.

Ne radi LACP switch na switch. Radi LACP na HP Switchu, a kaci Cisco UCS server koji vrti CUCM (Call Manager). Ako sam ja dobro procitao.... :)
Please do not feed the Trolls!

Profesionalni sport je oksimoron. Profesionalni sportista je, najcesce, samo moron.
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 174
*.dynamic.isp.telekom.rs.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.08.2018. u 11:42 - pre 2 meseca
Jel CUCM na nekom hipervizoru (i kojem?) ili je direktno na HW-u ? Ima nesto oko politike loadbalancinga na LAG-u sa obe strane koje moraju da se poklope.

Poz,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

komplikator
Programer / sys. inženjering
CRO

Član broj: 29755
Poruke: 158
*.kronovision.zv.cust.gts.sk.

ICQ: 13387003


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera10.08.2018. u 13:47 - pre 2 meseca
Upravo tako, UCS je Cisco unified comunication server, server upakiran sa svime i svačime i na sebi vrti vmware ESXi 6.0.0.

Inače na VMware hostovima nemam problema s LACP-om prema HP-u. no doduše to su i HP serveri, zna se best practice i kako se podešava WMware, i kako HP switch da LACP uredno radi. I agregiram bez problema po 4 kartice, i zasebno portove za vMotion, i portove za management (sve u duplo, zbog redudancije) i sve radi savršeno.

No kad je u pitanju VMWare na Cisco serveru (UCS-u.) onda se ne razumije kako treba s HP-om i zna sam od sebe zablokirati kompletan trunk (agregirani link).

Slična glupost na relaciji HP <> Cisco mi se javlja kod PoE negiotationa na Cisco 8851 telefonu sa dvije ekstenzije i HP2530-48G PoE+ switchu. Ubio se, ali ubio da proradi... od nekog firmwarea na dalje se samo restarta ili starta, a ne boota ekstenzije i tako u nedogled. Pokušano sve i svašta i neće. Na kraju radi na običnom malom 2530-24G PoE+ switchu. Iako oba switcha imaju siti image/firmware i gotovo istu konfiguraciju.

S obzirom da imam 2 UCS-a. i 2 CUBE-a. i sve je redudantno na kraju sam diseblao sekondarni port na switchu i tako privremeno ostavio dok ne nađem riješenje.

Imam i kombinacije HP i Moxa gdje recimo radi FC link da Moxa koristi svoj MM Gibic, a HP na svojoj strani svoj. Na istom switchu samo sa starijim firmweru za site koji imam u Srbiji 2530 bez problema "guta" Moxa Gibic, dok ovaj doma u Hr radi isključivo sa HP Gibicom. Znam da HP od neke verzije podržava samo svoje Gibice no to je počelo znatno prije ovog firmwarea u tim switchevima. Za nekakav backup link (često mi trgaju optiku, a imam je kilometre i kilometre) imam jedan WiFi link sa UBNT Airfiberom i rad mi savršeno sa HP opremom. Izuzev mutavog pasivnog PoE, zbog kojeg mi Ubiquity (i još par detalja) jednostavno nije enterprise oprema.Ne razumijem zašto je teško implemetirati PoE ili PoE+ standard i raditi sa ozbiljnom opremom nego se igrati djetinjastim PoE injektorima. No to je neka druga tema.
God is real unless is declared as integer.
 
Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 318
*.cpe.vektor.net.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera11.08.2018. u 22:47 - pre 2 meseca
Ako dobro mislim, imas HP 5406 zl2, to je Aruba modularni switch. Koristim i ja njega u produkciju i imam podesene trunkove (tj, port channel-e i to sve radi) ali misllim da taj switch nije predvidjen za core switch.

Ovaj 5406 zl2 je vise predvidjen da se na njega kace Wifi AP-ovi kao i ip telefoni.

Za core switch mi smo gledali da kupimo HP FlexNetwork 7500 seriju.
 
Odgovor na temu

komplikator
Programer / sys. inženjering
CRO

Član broj: 29755
Poruke: 158
*.kronovision.zv.cust.gts.sk.

ICQ: 13387003


Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera13.08.2018. u 12:12 - pre 2 meseca
Da, sada je to Aruba, nekad je bio HP. I ovaj naš je već rebrandiran pod Aruba korporativni identitet. Za naše uvjete je idealan kao core switch. Ima 2 redudantna napajanja, ima 2 management modula, napunili smo ga FC i ETH modulima i doslovno imamo "lijevu" i "desnu" stranu i na njemu je 90% linkova bilo optika bilo bakar složeno s link agregacijom. I sve radi savršeno, osim prema UCS-ovima. Mislim da je Cisco koristio dva vendora za UCS-ove, jedan je bio HP, drugi je bio mislim Lenovo. Negdje se to i vidi, zaboravio sam gdje. Cisco samo rebrandira gotov custom server.

Žao nam je samo što nismo uzeli i jedan par 10Gb ethernet modula i na tome bazirali promet prema ESXi hostevima.
God is real unless is declared as integer.
 
Odgovor na temu

Joja82
Beograd

Član broj: 50336
Poruke: 318
*.cpe.vektor.net.



Profil

icon Re: Podesavanje Cisco ASA 5506-X with FirePOWER rutera13.08.2018. u 21:23 - pre 2 meseca
Slazem se sto se tice redundantnosti to mu je super, sa dva management modula koja rade kao active/pasiv i sa duplim napajanjima je stvarno super.
Mi ga koristimo takodje sa optikom i 10gb modulima u serverima za virtualizaciju. I radi fantasticno vec godinu dana, bez stajanja.

Jos su nam na njemu i dva NETAPP storage-a zakacena na 10gb module u clasteru i sve to sljaka bez problema

Jedino sto je posle cisca, malo teze mu uci u njegovu logiku ali sve se da konfigurisati :)

 
Odgovor na temu

[es] :: Enterprise Networking :: Podesavanje Cisco ASA 5506-X with FirePOWER rutera

[ Pregleda: 1122 | Odgovora: 17 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.