Un firewall Cisco ASA può essere configurato sia dall’interfaccia di management specifica (per i modelli che la prevedono) sia attraverso una qualunque interfaccia ethernet. Gli esempi che facciamo fanno riferimento alla versione 9.6, ma possono essere applicati in gran parte alle versioni precedenti, specialmente pe questi comandi di base.
Fanno eccezione i vecchi PIX e gli ASA 5505 per i quali la configurazione delle interfacce, e soprattutto l’assegnazione degli indirizzi, avviene in maniera diversa.
Gran parte dei nuovi modelli ASA (5506, 5508 e superiori) hanno un’interfaccia di management ethernet (oltre alla tradizionale console).
Dalle interfacce di management è possibile raggiungere l’apparato, ma non fare traffico verso altre reti. Le considerazioni che seguono fanno riferimento a firewall in routing mode (non trasparent) ed in modalità single context. D’altra parte questa è probabilmente la modalità più diffusa.
Al primo avvio dell’ASA, le interfacce, di default, si trovano in questo stato:
- Interfaccia fisica: disabilitata.
- Sottointerfacce VLAN: abilitate. Non faranno traffico finchè l’interfaccia fisica che le “ospita” a sua volta non sarà abilitata.
- Interfacce Etherchannel: abilitata. Anche queste non faranno traffico finché le relative interfacce fisiche on saranno abilitate.
MAC Address delle interfacce: di default, ASA utilizza il Mac address hardware dell’interfaccia. Nel caso di subiterfaces, queste utilizzeranno tutte lo stesso mac address, a meno che non venga esplicitamente modificato. Se utilizziamo sottointerfacce per gestire VLAN diverse è utile tenere conto di questo fatto (e magari modificare onseguentemente i mac address).
Per configurare un’interfaccia, la selezioniamo esplicitamente con il comando interface nome dell’interfaccia:
ciscoasa(config)# interface gigabitethernet 0/0
Il prompt cambia per indicare che siamo in modalità di configurazione di interfaccia (config-if). Per abilitarla:
ciscoasa(config-if)# no shutdown
Per le interfacce si possono usare molto altri comandi che consentono di mdificarle a livello 2; è possibile cambiare tipo di negoziazione, velocità, abilitare o disabilitare il supporto dei jumbo frames, etc. Per questo si rinvia ai manuali Cisco ASA Configuration Guide.
A questo punto abbiamo abilitato l’interfaccia, ma non abbiamo ancora configurato nessun indirizzo IP.
Possiamo assegnare direttamente ad una interfaccia un indirizzo IP, da modalità di configurazione interfaccia, dando il comando: ip address indirizzo-ip maschera-di-rete
ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0
Per verificare lo stato delle interfacce possiamo usare i comandi:
sh interface che fornisce informazioni sullo stato di tutte le interfacce dell’ASA. Ad esempio:
Interface GigabitEthernet1/1 "outside", is up, line protocol is up Hardware is Accelerator rev01, BW 1000 Mbps, DLY 10 usec Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps) Input flow control is unsupported, output flow control is off MAC address cccc.cccc.cccc , MTU 1500 IP address 192.168.10.1 subnet mask 255.255.255.0 641899 packets input, 95676953 bytes, 0 no buffer Received 200482 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input 0 L2 decode drops 170 packets output, 10880 bytes, 0 underruns 0 pause output, 0 resume output 0 output errors, 0 collisions, 0 interface resets 0 late collisions, 0 deferred 0 input reset drops, 0 output reset drops input queue (blocks free curr/low): hardware (2033/1912) output queue (blocks free curr/low): hardware (2047/2045) Traffic Statistics for "outside": 636334 packets input, 82199103 bytes 170 packets output, 4760 bytes 531003 packets dropped 1 minute input rate 6 pkts/sec, 695 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 5 pkts/sec 5 minute input rate 6 pkts/sec, 675 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 5 pkts/sec
sh interface ip brief
ciscoasa# sh interface ip br
Interface IP-Address OK? Method Status Protocol
Virtual0 127.1.0.1 YES unset up up
GigabitEthernet1/1 192.168.1.1 YES CONFIG up up
GigabitEthernet1/2 192.168.10.4 YES CONFIG up up
GigabitEthernet1/3 unassigned YES unset administratively down down
GigabitEthernet1/4 unassigned YES unset administratively down down
GigabitEthernet1/5 unassigned YES unset administratively down down
GigabitEthernet1/6 unassigned YES unset administratively down down
GigabitEthernet1/7 unassigned YES unset administratively down down
GigabitEthernet1/8 unassigned YES unset administratively down down
Internal-Control1/1 127.0.1.1 YES unset up up
Internal-Data1/1 unassigned YES unset up down
Internal-Data1/2 unassigned YES unset up up
Internal-Data1/3 unassigned YES unset up up
Management1/1 unassigned YES unset down down
Nel prossimo post vedremo come configurare etherchannel ed interfacce ridondate.