Seguranga Dipostivos de segurangsadapives Cisco ASA S500 Series Configurar o ASA para os links redundantes ou alternativos ISP BRASIL "4 Outro 2086 - Tuco sor Computer ‘SUPORTE ‘SUPORTE DE PRODUTOS DE Tl nates (22 Agosto 2015) | sad Seawanca Dispos de segura taptaves Cacn ASA 8800 ‘Senes rca ‘cont gure80 Notas Tesricas earls do Companies Uizados Centurezso Prodtos Relaconadoe ecomensienes moeraras oniguae Diag de Rade Saniauacte de Gut ota Sorine ge soa de began ea aad (todo de CU ‘SErire oe us de bala ea aad (ods ASOM ‘ia seal 4 omuida dosnecessamania (Wlamacaes Aalacocadar Diseus6es relacionadas da comunidade de supers da Cisco 1 desove com configura a foramanta de seguanca aaptvel do S500 Sates de Cisco ASA (ASA) Tocrsos de racking da rola elatica afm permis peti d usa” condos com o ners Contd por Prashant Jos por Bikar Shama, engerhoirs de TAC Ha Cis.Préequisitos Requistos No atom ques espeatos par ste documenta, Componentes Utilzades ‘As lefomacses neste documento so basaadasnosasverstes de software o hardwas: + S555xX Series de Cate ASA que exscula 8 vera de stare 9x 6 male ade + Verio ASOM Cisco 7x 99 mals are As evomaraes neste dosumorto foram orades a pati de dsostves am um ambiente de lbortro espe, Toeos (os dents utlansoe neta documents fry ines om ua consQuagso (asa) inal. Se ua "eds eebve" Sih. conique-se de que anende 0 pacts poensl de quale cero, Produtos Relacionados oss pede qulments usa sta configura com avers 8.1(5) do S500 Sones de Cio ASA Nota: © comando backup interface é ssid a fim eonfigurar a quart rlagh no 5505 Soses ASA, Retina Sedo da ara ca aun 2a reerénia de comandce Go dspostive do Cisco Socury, verso 7.2 para mals inernageo InformagSes do Apolo Este sag fomacom uma Vista geal dos ecusos de Vacing da ota esti qu so descros nase document, assim fe slmas resomendages inparanes ares go veh mec Vista geral dos recursos de tracking de rota exten Un potters com oso das oa esas due nenhun mecaiano near ee que pode determina’ se aoa & pa cma 5s porn Sain. Arolapemanaco natal de olamento maura sa © gateway ao sal sone ef 80 ‘spoivel, A tas eto esto remain da inten de rotesmerto somorte sen reagse associa na feramonta Se Sepuanza val para baa. A fm reso ote prelema ue resus co Vang da ta oxen soo usbdos aim sur 2 Dsponbliade da une rola etic, A careers remove rola elaca a abla de lsemeno 8 ssil-a com lima ta de chp em dine da ahs, © segment oa exitia ormite que o ASA use ma coneo bran a un ISP seca caso anh atgada Promnar se tomar no pone, kfm conenga esta Reduninem, © ASA asoca na ln esiea com i 0 8 Iranforaro que vod datina, operate do corre conv ae sort (SLA) mntorao alo om requsiees do oto TCHP pores. Se una rspesa oe eco nto éeceic, a soputo bj etd consielad sara basa, © 2 ‘sisoada rong da tala ce otamert, Uma ota de bac prewamenteconguraaa use No ug la {uv mode, Cuando fle de badip etvt rouse a opera dormant SLA cont sua eras do ‘tenga no da montoragio. Una vez qos oa axa ponivl ota vez primeira et btu ma tabla ‘drotonmento, eo de Sackp 8 remot,No oxorslo aus 6 vad neste documento, 9 ASA mantém dots coneades a0 Internat Apna cone 6 uma tha Aligada do ate veloadads qs so. alargadaavave o un rotasa fomecco plo ISP pincpa. A sagunda conexao & tim eigtal suscnber no (OSL) da veladoce mae bax quo sje aleancazo araves de um mosaM OSL Tomecsa pale Ip seondro Nota: A conquers que 6 dosurta nest documanto no podo ser usada pra o Balancoamento do carga ou 0 ‘ompatinanenta ae aga, poraue ao #epleda a ASA. Use eta co guarso pata e Rada ou 22 fropuston ce becapsomena, © tego de aida Usa ISP penopa, «stan ISP sscunios opener fa fan 6 ISP prinapl causa um ronpimenta proves doiogs ‘A conaxto OSL 6 qlee anquantoa Inna alga 6 ata oo gateway do ISP pincpal#skanevel. Corto, sa 2 Caner oo ISP pnp va pare bao, 0 ASA muda otslego deo da abel do teamed conexdo SLO Sepumeno da cs eaes ¢usado a fin consapar ea Resandinge (ASA configure com una rola atten que tn tooo trifego do name a0 ISP prinpal. Cada daz segundos, = \ercaes so proceso do montor SLA afi conimar que ogatenay do ISP prcial@seanva. Seo process do Imanfor SLA eotemina que o gateway do 8P pncpal nao kancavel, ero stata aoa ange o arenas esa Tetra &renovisa da tabala aotearoa. Aim subst esa ta asaen uma la esses atmatva qe dr 0 talego ao ISP ses istteda, Esa ta eatin aera Sige o log 00 ISP secant do Mader DSL até aue otk ao ISP pial eta leave, Esta conga fomece uma maneearatvamorto barata de asoguras de que © acasto 20 Inte! de paride pomenora deponia os Ususros as do ASA. Com descrfo reste documenta, esa tales nso pode Set broprda pre o aoweea Ge era so teousos ste do AGA. As hebidades avangadas doe abelos em rede 80 ‘igaus a im eaneegurconaxbes de oad sm omenda Elias hasheades sos cobfas reste doce Recomendagées importantes Antes que vce tora canigurago qu etd cesta neste dosumerto, vos dave eoaher um av da monocoque poss sponds fa reuisgses de eco do imel Contra MessopePrctocl (CM) O ala pode se todo o aja de Fede qu vo eater, mas um so qu sja amar panama su canna do prover song do Ime (ISP) rocomendado. Eso aqu alga alos possvs da mentor + © enderera de getonay ISP + Um oto enero 1SP-contoado + Um sever om ums ou rede come in sve Authentication, Arson, ana Acouring (AAA) com (quo 0 ASA dove so comunia + Un sito deeper en uma dean des oun conpan ebook uo ose Este documento upto que 9 ASA ¢slorsmerte aperaionel ¢cofiguado fm pei que 0 Cia Adaptive Secanty Devi Manager (ASO) tagalog do congo. Dies: Par bier intrmegéee sabre de come pair gue 9 ASOM cairo disposi, rfva 9 acoso ‘Sulguanss HTTPS parm 2 toglo ASOM seu f CU Gun de congue de CU das operas gor x60 isso ASA, 91, Ccontiguar Use a inermaco que desta nesta sao afm conguar 9 ASA para o uso dos recursos do tracking ea ta esa, Nola Use a orarcenta de cones de comandos (eras reas omer) afin ote mais inforago {bre Se comands que 880 sade neta ser, Nota Os endorse IP do Um ou iis Sandor Ceo ICM NT qu so uss nesta configu no #80 Tegalmenterieavel no ntomel. See os endoagse do HEC I9i8 ", qo so usados am um amor ce taboo. Diagrams de Rede ‘© examso que fomecdo nesta seo usa ets instar oe rade Primary IS Netw Leases ish b Router sxscunsans - 2 ine i aL. Baca ames ; st pases Secondary SP ‘Network CContigurasio de CLIUse eta inftormagio afm contra © ASA atau do Ci ASAD show eunning-contig Sa Version 9.305) hostnane ASA nuectace Gigabitethemnete/a ip auaress 192,168,18.2 255.255.288.¢ nvenface cigabitethemete/1 ncenface sigabitethemnete/2 raves back ‘he interface attached to the Secondary ISP, “backap" mas chosen here, but any nane can be assigne. interface Gigabitethernet®/3 ‘hata fo nanelé ro Security-level pe Ip sadness {interface Gigabitethernet@/é ro nonei fo Security-Level fe Ab aadress Enterface Gigabitethernet@/s fo Security-level Inverfacenangenste/o ro nanett fo Security-Levelboot systen diseo:/2sa925-s0p-48.0in object meteor Ineiee.Netaore object network insise network stu outside 1500 object network Inside, Network Tat (Snside, outside) dyanse Srterface nat Gnside,backup) dynamic interface Wr Configuration for outside and Backup ICL this'is the state route to be Anstalled in the roving {able while the tracked object 1s reachable. The value after [--- Define the backup route to use when the tracked object 1s unavailable. The sdenistative ghstance of the bacup Toute mat be greeter then Snevead of the tracked route, ‘tineout Sip 8:38:08 sip. media 8:02:08 sip-invite @105:08 sip-disconnect @:82:00Lneout fep-prony-reassenbly 6121200 Uteout FHoatingeconn 0:88:98 rmspackets 3 onitoring grotocel andthe target network object ‘ose svallability the tracking Specify the rate at which the monitor process repeats (in seconds). St the tine this comand is entered. As configured, this command allows the tonitringcontlgratin species stove fo deere hw often the testing III the track 1D corresponds to the track ID given to the statie route to monitor oute outside 616,010 8.0:0,8 30,010.24 track 3 hreat-cevection statistics access-listpoliey-nap type inspect éns preset_cns_nap paraneters nessoge-length waxinun client auto sesogecengthfacinn 512 lass Inspection-aefaurt inspect dns preset dns_ap Inspect tp Inspect 523 9225, Srspeet W323 ras fSnapeet tp Inspect est Inspect saint Inspect skinny Inspect sunege Inspect ancy inspeet ip Inspect netbtos Inspect rtp fnapect Spropeions Service-policy global_poltcy gloss! CConfiguragio ASOM “amine ea taps a fencer 0 spio recat ou do bac ISP cam sls ASDM 1. onto do alate ASOM, que a configured, o clave ent ralagéos2 Sclecone Gigabitéthernetit da Ita das lanes, ecique-o ero eitam, Essa caba de logo 6 exbid:od MdmroPot: Sphere, Sortyiaes 6 Doel tetacts mnsaemnt ct Zlewbienaton Queene Cetansdiea vatNr Queerrat 4. Clique 8 APROVAGAO afin fecha ei de ioos. 5. Conigarar as cua roles como racossnas,eciqueas eto aplcamse fm atalza a configura Nee5, Selecione oroteamento clio as rotas estticasstuadas no lado osquaré do apt ASON:‘ee ttcnd eee cer Foie] AH, can gl com CTI 7. 0 equa aiclona afin sonar ae ras esis nove, Essa cata de dtloge 6 efiOne OTe Cotas e ste) kt edad 222 NM) 5 Taet brat [ous nena instars meray tech tb prageg he bakes ees 4. Dana de ropdown do name lao, esata lag om que als rsie, © configure mola pao bar leancarogsoway. Nene exompo,303.0-183.2 6 0 gsowny 3 ISP principal 4222 6 o slo ‘montra com eos ICMP. 2. Ne aie as ops, cue o blaa de do seguidee noapare cs valores epopiados ha ID, SLA 1D, © ‘erpos do ensrog IP do Un ou Mais Sonido Cisco ICM NI ha 40. Clave opeoes da montorag. Essa cana do Sogo oxida:ee! 1 naar og ais scan pra tequnas «oes oes a manta, equ eo 8 12 Asconar uma ox oa esta para 0 ISP soca a fen frecar oma oa pr lcangar Intent. A fm i fazorine una rota secndi, confprar esta rota com uma metea male ska, tal coo 20, Se arora pnta {ISP pncpal aha ean rota etd remove da labela de olserart, Esta oa secundara (SP excungar) & ‘SSsloaa a taela Ge learneto arb de erat pada (1X) plo cota. {1 APROVAGAO do clave afin fochar aca de lon:aevateoin ee: Osh Rein Coton ler] Pete] SE, camer SE ew (ED 14 Selecone a conguarae do rotsamento, eclque- eta im tala coniguragao ASA. Verifcar Use esta seo ara conta se a sua configura urciona coretamere Nota: A oramanla Ou! ores: (lentes sasaas sonia) aps dtenninados comandos do xd. Use'a eramorsa Output Ierretar a fim vor uma als 2 emissor ge comardo do escu30 im verti que su caniguago at compas + mosire 0 monitor dos pracéros da executar- roteamanto,e ena ‘nto rota da vero roteamont ‘Antes que 018° prrapal fhe, atabele de otamanto parce smi aqusa mosade na imagem suit. Nete que Fela pedro Seana 9 208.0.113.2 ares da Intrtacs externa Shag" Shag sense sae Gi) Depsis que 015° prin faa, aot at amon "98.5% 10.2 strats da ntartac de backup rola de backup inte, A rola padre apota agora aPeseaise pcs ‘Seren + ‘Troubleshooting ata sto fr fa romovida dosnocsesaremers, Comandos debug tae stim tome 19 alguns comandos debug isis © dscrve cam pesquisa defies uma eso onda arta sequida ‘Veoh pode sar exes comandos éebug a fim pesquisa dees aus potas de congas: + debuger trago do monitor dos precéios~& clea dest cimando dia o preaeeto ds operate do 02 + So. bjatosequid (gstoway do ISP pnp) 8 escendnte © os e256 ICMP sucnte, aida parece GP's Nonitor(323) Sia monitor(123) EP Sta Monttor(123) IP SLA menttor(123) EP SLA Monitor(123) BP SLA moniter (133) Scheduler: Starting an operation ‘eho sperat ion: Sending an echo’ operation ‘eho operation: ari=0 o¢ ‘eo operation: T= ‘echo operation: RTT=1 O€ Scheduler: Updating result + Se. ebjsta sequah (gateway do 1S? pra etd par bao e 6 eos ICMP fas, aide parece Sloss1 SLA monitor(128) Scheduler: starting an operation IP SLA monttor(123) echo operation’ Sending an echo operation 4p SLA Menitor(123) echo speration: Tineout 4p SLA Menttor(123) echo speration: Timeout 4p SUA Monitor(123) ene operation: Tineout EP Sta Monttor(128) Sehedeler: Updating result + dsbugaro ero de monitor dos precarios Asada dest comande indica todos 08 oo que 0 procsta ‘mont SA cont + 80.0 objeto segue (stoway do ISP prnpal) 8 ascendonis © ICMP suced, a sada parece smi 3 USke-coonn: Gust local-hos Lderty2099.319.3 285A-6.902020: SuSlt outbound ICH connection for fadér 4.2.2.2/8 addr 203.0-119-3/39898 addr 203.0.113.2/39878 skSnes-soa62i: Toardoxn Tom connection for fadse & 203.0. 113-1/39878 lade 203.0-113.2/39978 BASALT 609661; guilt localhost ideneity:203.0.313.2 tsnc?-coneen: guilt localchost outsiger4-2.2-2 SAsncé-So2620: guilt outbound TcH conection for fador 4.2.2.2/8 gadde 203-0.113-2/39879 Laddr 283.0. 113.1/39879, akiacs-te260i: Toardon Lor connection for fade 4.2.2.2/0 gadde 203.0.31./39879 lade 203.0-713-3/39879 2ASAC7" 609602; teardown lorai-host ent ity:283,8,123.1 duration @:00:08 4ASnc7-conee2: Teanom Local-host ovteige'a-2. 2.2 duration 8:00:02 + S22 bjt sco oteny 01S? propa) cae ai aaa eps avondale pavece amlara est 285A) 608002: Gusit localcnost outsides4.2. 3-7 asncs-S0a620: sult outbound ICH conection (or fader 4.2.2.2/8 addr 202.0,119-3/59008 Laddr 203.0. 113.1/59003, KsA-s-392626: Guilt outbound ICR? connection for fadér 4.2.2.2/8 odd 26)-0.113-2/89008 addr 283.0.113-2/59008, a85a-6-J02626: auii® outbound ICR conection for fadér 4.2.2.2/8 addr 203.0-129-3/89005 addr 203.0. 113-2/59005, skSics- 00601: Teargoun Tom connection for fader & 203.0.313.1/59003 ladde 283.0.115.1/59803 ASAE: 202624; Teandonn TON connection ror Fade .2.2.2/8 gadde 201.0. 313-1/58008 lade 203.0.113-1/59008 285A6.302624" Teandonm TOR connection for fader 4.2.2.2/0 gadée 209,0.314.1/5900> Inde 289-0-713-3/59005 8SA7" 600602: Teardown Locai-host cent ity:203,0,113.1 duration @:00:62 asacy-coneen: Teandom Local-host ovteige‘4.2,22 duration 8:00:02 ASA6-E22003: Removing tracked route 8.0.0.0 0.8.0.0 203-0.115-2, 2.2/0 gadr 2.2/0 gadristance 1, table oefault iP-Rovting-Table, on interface ovtside 4.2.2.2 {5 unreachable, so the route to the Prinary ISP 1s removes ‘A rota soquida éremovida desnecessariamente So a rota soda dromovdadesnocossaiamont,assoqu-se de qs so ao da montoraco exis simp Spon a racer requicoes do ac. Alon, assogur-se do quo o stad de sau avo ca montarajao (kt 8, MoBMa $B 9 sho eangevet ela amaraco pioumamerto ao ead da cenexto do ISP penal ‘Se veo esate un sho de manitora;io que atieste miss dtanteausare do que agate ISP, um ota fk 20 Tonge dessa rota pe fata ou um si dapost pide ierfor ata sonigumg pose fzar com 9 maritor SLA fanelua ques canede 20 SP peal lhe © faga am que o ASA fae dosrocresramorte sero ao Tnx sScunao ise Por exapa, se woud etc un rtaadr do eat ial como sau ahve da montrag,scanetto ISP au ‘elon itl peda faher, asin camo qq ero Kaka long do came Unee? gue os ecos IOP qu elo ‘wads pela aha da opera de mantrameric, ta seq pelimirar so emovides, mess que 0 nk do ISP prnaal sj ana sho, Neste oxempl,o gateway do ISP praia! que &ussto como o evo da montorapo& contol plo ISP feo Sunde no au age donk ISP. Cia coniguegsoaasegrran de que wo 0 oa ICMP que abo eres pla fa ‘is opeagio de montaramest, one ISP so quae crmonle pers bao. InformagSes Relacionadas + fitewal da proxima eracio do SS00X Series do Cisco ASA 1 Siparte Teqnee « Documeniacio = Caco Syste Document 116862 Cerne |H Fantback | Ate | ad st | Teme