Cisco Adaptive Security Appliance (ASA) Setup-Assistent

Nachdem Sie Ihre Cisco Adaptive Security Appliance (ASA) angeschlossen sind, müssen Sie entscheiden, ob der Start-Assistenten zu verwenden oder eine differemt Konfigurationsmethoden verwenden. Die Einführung Seite erscheint und das ermöglicht es Ihnen, eine Entscheidung zu treffen. Weil Sie auf Ihrem Computer Java installiert benötigen, haben Sie drei Möglichkeiten hier:

• Installieren Sie ASDM Launcher und Ausführen von Cisco Adaptive Security Device Manager (ASDM): Installiert den ASDM auf Ihrem Computer. Wenn dies der Computer ist, werden Sie immer Ihre Management verwenden, um durchzuführen, macht diese Methode am meisten Sinn.

• Führen Sie ASDM: Diese Option verwendet Java Web Start die ASDM Tool direkt von der Kopie auf dem ASA installiert zu starten. Dies ist vorteilhaft, wenn Sie nicht an Ihrem normalen Computer sind, weil Sie keine Software nicht installieren.

• Führen Sie Start-Assistent: Diese Option auch Java Web Start verwendet ASDM zu starten, mit einer Ausnahme- nach dem ASDM ins Leben gerufen hat, läuft der Start-Assistent automatisch.

  

Um die Netzwerkkonfiguration der ASA ausführen, wird der folgende Prozess führt Sie durch den Start-Assistent:

1. Klicken Sie auf den Run Start-Assistent-Taste auf der Einführungsseite.

   Sie erhalten eine Warnung an den Sicherheitseinstellungen auf Java verwandt.

2. Wenn Sie sicher sind, dass Sie auf das richtige Gerät an das Netzwerk angeschlossen sind und nicht eine gefälschte Gerät versuchen, Ihre Anmeldeinformationen zu sammeln, um die Warnmeldung zu entlassen.

   Da Sie diese Nachricht aus dem ASDM erwarten, weiterhin auf die Website. Der Cisco ASDM Launcher Dialogfeld erscheint.

3. Wenn Sie ein Passwort aktivieren, aber keine tatsächlichen Nutzer, überspringen Sie die Feld Benutzername, füllen Sie das Enable-Passwort in das Feld Kennwort ein, und klicken Sie auf OK.

   Wenn Sie bereits ein Benutzer mit Administratorrechten erstellt haben, geben Sie den Benutzernamen und das Passwort in die entsprechenden Felder ein.

   

   Der Ausgangspunkt wird angezeigt.

4. Wählen Sie eine der folgenden, abhängig davon, ob Sie die Einstellung der ASA zunächst nach oben oder ob Sie Setup unter Verwendung einer vorhandenen ASA-Installation zu ändern:

5. Vorhandene Konfiguration ändern: Sie können wählen, die bestehende Konfiguration zu ändern.

6. Zurücksetzen auf die Werkseinstellungen: Mit Ausnahme der Management-Schnittstelle, ändern Sie die Standardkonfiguration. Wie sich herausstellt, erfordert eine Menge von kleinen Netzwerken gibt nur einfache Änderungen an deren Konfiguration, und als solche wieder Ausführen des Startassistenten ist der einfachste Weg, um diese Änderungen zu machen.

   

7. Klicken Sie auf die Schaltfläche Weiter.

   Die Basiskonfiguration Seite wird mit zwei optionalen Elemente, die Sie tun können wählen.

8. (Optional) Wählen Sie aus den folgenden Elementen:

9. Konfigurieren Sie das Gerät für Teleworker- Verbrauch: Diese Option unterstützt Tele oder Remote-Mitarbeiter über ein virtuelles privates Netzwerk (VPN). Wenn Sie diese Option auswählen, werden Sie mit einer Extraseite von Fragen für die Easy VPN-Remote-Konfiguration in der Nähe des Ende des Start-Assistenten vorgestellt.

   Auf dieser Seite können Sie auch den Startassistenten sagen Sie den Namen der Firewall-Einrichtung, wie ASAFirewall1 und den Domain-Namen zu dem das Gerät, wie edtetz.net gehört.

10. Ändern Privileged-Modus (Enable) Passwort: Wenn Sie nicht zufrieden mit Ihrem aktuellen aktivieren Passwort sind, ist es hier ändern, bevor Sie diesen Schritt des Startassistenten abzuschließen.

    

11. Klicken Sie auf die Schaltfläche Weiter.

12. Wählen Sie Virtual Local Area Networks (VLANs) für den Außenbereich, Innen, und optional, DMZ-Interfaces.

    In Abhängigkeit von der Anzahl der Schnittstellen, die Sie für eine Lizenz, können Sie bis zu drei Schnittstellen konfigurieren. Die Basislizenz für das ASA ermöglicht es Ihnen, nur zwei Schnittstellen. Die Interface-Seite Auswahl des Startassistenten wird angezeigt.

13. Das Außerhalb VLAN steht vor der Internet.

14. Das Innerhalb VLAN steht Ihr Firmennetzwerk.

15. Das DMZ VLAN arbeitet parallel zum Firmennetzwerk. Das Demilitarized Zone (DMZ) ein Bereich, in dem Sie Server, wie E-Mail, Web- oder FTP-Server, dass die breite Öffentlichkeit platzieren können - oder zumindest die Menschen außerhalb des Netzwerks - Notwendigkeit, den Zugang zu.

Für jede dieser Schnittstellen ein VLAN mit dem Segment zuzuweisen oder nicht wählen die Schnittstelle überhaupt zu benutzen. Standardmäßig ist die innere Schnittstelle für VLAN 1 konfiguriert ist, was Sie, wenn Sie jedoch wollen-ändern können, denn dies ist die Standard-VLAN auf dem Schalter ist, können Sie nicht ändern.

Für Ihre Außen Schnittstelle und DMZ-Schnittstelle können Sie ein anderes VLAN oder gehen mit den standardmäßig Erwählten wählen.

Aktivieren Sie das Innere VLAN, außerhalb VLAN und DMZ VLAN-Schnittstellen nicht assoziieren eigentlich keine besonderen Switch-Ports an diesen Schnittstellen. Die Schnittstellen sind virtuell und müssen physikalischen Schnittstellen auf dem Schalter verbunden zu werden. Dies bedeutet, dass eine beliebige Anzahl von Ports auf eine dieser Schnittstellen zugeordnet werden können.



16. Klicken Sie auf die Schaltfläche Weiter.

    Der Switch Port-Zuweisung wird angezeigt.

17. Ordnen Sie die ASA-Switch-Ports zu den drei VLANs durch den Hafen in die verfügbaren Ports oder Portadressen Scheiben Auswahl und die Schaltflächen Hinzufügen oder Entfernen klicken.

    Zunächst werden alle Ihre Anschlüsse sind mit dem Inneren VLAN zugeordnet ist. In den meisten Fällen verbinden die niedrigste Schnittstelle oder Ethernet 0/0 eines ASA 5505, mit der Außen VLAN, weil Sie wahrscheinlich wollen die zusätzlichen Ports auf der Innenseite Ihres Netzwerks zu verwenden.

    Auch auf der ASA 5505, die letzten beiden Ports liefern Power over Ethernet (PoE) an die Macht Geräte wie Telefone oder Access Points (APs), die noch ein weiterer Grund, warum Sie die oberen Ports mit dem internen Netzwerk verbunden zu sein wollen .

    Wenn Sie einen Switch-Port wählen und es mit einem VLAN oder Schnittstelle verbinden, werden Sie mit einer Meldung aufgefordert, zu sagen, dass es aus einem bestehenden VLAN entfernt werden. Da alle Ports aus starten, die mit der Innen-Schnittstelle finden Sie diese Meldung für alle Port Neuzuordnungen.

    

18. Klicken Sie auf die Schaltfläche Weiter.

    Die Interface-IP-Adresse die Konfigurationsseite erscheint.

19. Weisen Sie die IP-Konfiguration für jede Ihrer IP-Adressen.

    Für Ihre externe Adresse, können Sie manuell eine Adresse zuweisen, die für Business-Internet-Verbindungen ist nicht ungewöhnlich. Wenn Ihre Internetverbindung unterstützt entweder Dynamic Host Configuration Protocol (DHCP) oder Point-to-Point-Protokoll über Ethernet (PPPoE), wählen Sie die entsprechende Option.

    Wenn Sie DHCP verwenden, informieren Sie Ihren ASA das Standard-Gateway verwenden, um es von DHCP als systemweite Standard-Gateway für dieses Gerät empfängt. Wenn Sie nicht wählen, die systemweite Standard-Gateway-Option zu nutzen, müssen Sie eine manuelle Route durch ASDM zu konfigurieren oder die Route außerhalb 0 0 in der Befehlszeilenschnittstelle (CLI).

    

20. Klicken Sie auf die Schaltfläche Weiter.

    Der DHCP-Server-Seite wird angezeigt. Für kleine Unternehmen oder Regionalbüros kann die ASA stellen die einzige wirkliche Gerät im Netzwerk, ausgenommen Drucker und Computer. Sie können diese Standorte haben vor Ort ohne lokale Server einrichten.

21. (Optional) Wählen Sie den DHCP-Server aktivieren auf der Inside-Schnittstelle das Kontrollkästchen ASA fungieren als DHCP-Server für dieses Netzwerksegment zu haben.

22. (Optional) Aktivieren Sie das Auto-Konfiguration von Box-Schnittstelle Check, so dass Sie die meisten dieser Einstellungen aus einer vorhandenen Schnittstelle zu kopieren.

    die Auto-Konfiguration Kontrollkästchen aktivieren ist sehr nützlich für Domain Name System (DNS) und Windows Internet Name Service (WINS) Server-Adressen, die auf allen Netzwerksegmenten ständig verwendet werden und alle die gleichen für die Organisation sein kann.

23. Konfigurieren oder Ändern Sie die fehlenden Informationen in den folgenden:

24. Start-IP-Adresse: Die erste Adresse im DHCP-Bereich ausgegeben werden.

25. End-IP-Adresse: Die letzte Adresse im DHCP-Bereich ausgegeben werden.

26. DNS-Server 1 und 2: Die DNS-Server, die DHCP-Clients verteilt werden.

27. WINS-Server 1 und 2: Die WINS-Server, die DHCP-Clients verteilt.

28. Mietdauer: Die Mietvertragslaufzeit bestimmt, wenn DHCP-Clients erforderlich sind, ihre Mietverträge zu verlängern auf der DHCP-Adressen geliefert.

29. Ping Timeout: Der Ping-Timeout-Einstellung vom DHCP-Server verwendet wird, weil es jede Adresse ein Ping-Signal, dass es bereit ist, zu geben, bevor die Adresse zuweisen, um sicherzustellen, dass die Adresse nicht in Gebrauch ist. Dies verringert die Wahrscheinlichkeit von doppelten IP-Adressen im Netzwerk erstellt werden.

30. Domain Name: Der Domain-Name des DHCP-Client gehört.

    

31. Klicken Sie auf die Schaltfläche Weiter.

    The Address Translation (NAT / PAT) Seite wird angezeigt.

32. Richten Sie Network Address Translation oder Port Address Translation.

    Wählen Sie aus den verfügbaren Adressübersetzungsmethoden:

33. Verwenden Sie Port Address Translation (PAT): Die meisten kleinen Büros, die Adresse nur eine öffentliche IP auf ihre Internet-Verbindung nutzen, verwenden PAT auf ihre Verbindung. PAT kann eine bestimmte Adresse oder die Hauptadresse von ihren außerhalb VLAN-Schnittstellen verwenden. PAT ermöglicht ein ganzes Büro (oder übersetzen zu) zu teilen sich eine einzige externe IP-Adresse für den Internetzugang.

34. Verwenden Sie Network Address Translation (NAT): Auswählen von NAT setzt Eins-zu-Eins-Abbildung (oder Übersetzung) zwischen internen und externen IP-Adressen, so dass Sie eine Reihe von Adressen angeben, an der Außenseite VLAN-Schnittstelle zu verwenden.

    Wenn Sie ASA verwenden intern im Netzwerk (zum Beispiel einen Server-Subnetz zu schützen), können Sie auf der Verkehr durch die Firewall ohne Address Translation Optionsfeld aktivieren wählen, wenn Sie öffentliche Adressen im internen Netzwerk verwenden (wahrscheinlich nicht), oder wenn Sie verwenden, um die ASA als Firewall auf das Innere Ihres Netzwerks.

    

35. Klicken Sie auf die Schaltfläche Weiter.

    Der Administratorzugriff Seite erscheint.

36. Stellen Sie, welche Systeme in Ihrem Netzwerk ASA verbinden kann das Management oder Konfigurationsänderungen durchzuführen.

    Verwenden Sie den folgenden Prozess neue Management-Schnittstellen hinzuzufügen. Wenn Sie ASDM verwenden möchten, müssen Sie den HTTP-Server aktivieren für HTTPS / ASDM Zugriffskontrollkästchen, während die ASDM Aktivieren History Metrics Kontrollkästchen spart Nutzungsdaten über den ASDM Schnittstelle zugreifen.

    In der Befehlszeile Setup, müssen Sie nur die Möglichkeit, Verbindungen zu asdm von einem einzelnen Computer hergestellt werden. Auf dieser Seite können Sie zusätzliche Systeme zu spezifizieren, dass sie das Management Ihrer ASA und der Art der Verbindung machen durchführen kann, um diese Konfiguration auszuführen.

    

    Wenn Sie eine neue Management-Option hinzufügen, hinzufügen den administrativen Zugang Eintrag Dialogfeld erscheint. Wählen Sie die gewünschte Optionen, um den neuen Administrationszugriff Eintrag zu erstellen:

1. Wählen Sie HTTP (ASDM), SSH oder Telnet aus der Access-Dropdown-Liste.

2. Wählen Sie Innerhalb von der Schnittstellen-Name Dropdown-Liste.

   Im Inneren ist in der Regel die sicherste Option Schnittstelle, aber in einigen Fällen, wie zum Beispiel, wenn Sie benötigen Remote-Administration über die externe Schnittstelle zu leiten zu können, sollten Sie sehr restriktiv in der Adresse, von der die Verwaltung durchgeführt wird.

3. Geben Sie entweder eine bestimmte Adresse, von der Verwaltung in der IP-Adresse Textfeld durchgeführt wird oder ein Netzbereich entweder durch eine IP-Adresse oder ein Netzwerk-ID aus der Subnet Mask Dropdown-Liste definiert geben.

   Denken Sie daran, die restriktiver Sie mit dieser Konfiguration sein kann, desto sicherer sind ASA ist.

4. Klicken Sie auf OK.

   Sie kehren in die Administrative Access-Seite.

Wenn Sie erlauben, die Firewall von außen Schnittstelle verwaltet werden, lassen Sie sich offen für möglicherweise von jemandem beeinträchtigt wird Sie nicht kennen.

Klicken Sie auf die Schaltfläche Weiter.

Die Übersichtsseite der Konfiguration Start-Assistent angezeigt wird, eine Zusammenfassung der Konfiguration vorausgesetzt, Sie haben auf das System angewendet haben. Alle diese Konfigurationsänderungen werden in die laufende Konfiguration auf der ASA geschrieben. Nachdem die Konfigurationsänderungen vorgenommen werden, finden Sie die Standard-Bildschirmverwaltung ASA ASDM. Über diese Schnittstelle können Sie

Führen Sie alle weiteren Änderungen an der Konfiguration.

Relaunch des Startassistenten oder anderen Assistenten.

Führen Sie die grundlegende Überwachung der ASA über die Homepage.

Führen Sie detailliertere Überwachung der ASA und Verbindungen, die es den Begleit Seiten Gastgeber durch.

Führen Sie zusätzliche Management und Tools zur Fehlerbehebung.

Speichern Sie die aktuelle Konfiguration in Flash-Speicher.