25.09.2017

Настройки Cisco ASA 5500-X или как перейти с Cisco 5500 на новые ASA серии 5500-X

В этой статье мы расскажем, как мигрировать с межсетевых экранов Cisco ASA 5500 (ASA 5510, ASA 5520, ASA 5540 и ASA 5550) на более современные ASA 5500-X (5512-Х, 5515-Х, 5525-Х, 5545-Х, 5555-Х), какую предварительную подготовку понадобиться провести, на какие моменты обратить внимание.

Вот приблизительное соответствие устройств этих двух линеек для перехода.

Cisco ASA 5500 Эквивалент ASA 5500-X
ASA 5510  ASA 5512-X
ASA 5510 с лицензией SecPlus  ASA 5515-X или ASA 5512-X  с лицензией SecPlus
ASA 5520  ASA 5525-X
ASA 5540  ASA 5545-X
ASA 5550  ASA 5555-X

Подготовка к миграции

Для того, чтобы миграция произошло быстро и без проблем, необходимо тщательно подготовиться к ней – проверить, выполняются ли требования к оборудованию и ПО.

Проверяем следующее:

  • наличие лицензий для всех новых устройств – предыдущие лицензии невозможно перенести, так как они привязываются к серийным номерам конкретных устройств, поэтому нужно будет приобрести новые лицензии и использовать их на новом оборудовании
  • версия программного обеспечения ASA для серии 5500-Х должна быть не ниже 8.6, более старые версии вы просто не сможете использовать на этих устройствах. Если у вас есть только более ранняя версия, загрузите новую с cisco.com

От вас потребуются такие действия по подготовке к переходу с cisco 500 series:

  • обновите Cisco Security Manager
  • сделайте апгрейд программного обеспечения всего оборудования 5500 серии до версии 8.4.2. Если у вас оно работает на ПО ASA 8.3, просто обновите его сразу до требуемой версии, если же вы используете более раннюю версию, то рекомендуем делать это не за один шаг, а в несколько операций, например, с 7.4 на 8.0, потом на 8.2 и на 8.4. Подробные сведения об обновлении на V8.3.

Также, в качестве альтернативы, можно воспользоваться веб-инструментом миграции NAT, за ним обращайтесь в ТАС или клиентскую поддержку. Этот инструмент позволяет отправить на обработку существующую конфигурацию с локального компьютера, затем выполняет преобразования и в итоге предоставляет пользователю обновленную конфигурацию, которую можно просто скопировать и сохранить в файл. Перед использованием этого инструмента внимательно ознакомьтесь с его ограничениями

  • обязательно сделайте резервную копию конфигурации и сохраните ее на случай, если что-то пойдет не так и конфигурацию придется восстанавливать. Делается она командой CLI copy или с помощью ASDM-менеджера
  • если у вас используется система предотвращения вторжений Cisco IPS, нужно сделать резервную копию ее конфигурации тоже (через CLI или IDM/IME)
  • когда будете делать резервные копии конфигураций, не забудьте обязательно выполнить экспорт сертификатов и криптоключей с прежней платформы

 

Отличия в аппаратной архитектуре устройств ASA 5500-X от серии 5500

Естественно, что архитектура новых устройств несколько отличается. Визуально вы сможете заметить такие различия:

  • нет SSM
  • службы ASA и IPS (если есть) физически управляются через один порт
  • выше плотность портов ввода-вывода, используются только порты Gigabit

Из-за этих отличий вам понадобится кое-что поменять вручную в конфигурационном файле серии 5500. Ниже читайте, что именно.

 

Редактируем конфигурацию порта ввода-вывода

У всех представителей ASA 5500 есть порты Gigabit, их конфигурация уже прописана и менять ничего не нужно. Исключение составляет ASA 5510 без лицензии SecPlus, где такого порта нет. Потому, если переносим конфигурацию именно с 5510, нужно будет изменить все имена интерфейсов и подинтерфейсов, чтобы отразить, что в новом устройстве порты Gigabit есть.

 

Вот пример, как это делается (переходим с 5510 на 5515-Х).

Конфигурация ASA 5510

! Physical Interface

interface Ethernet0/1

no nameif

no security-level

no ip address

no shutdown

! Creating Subinterfaces on interface E0/1 (two logical networks)

interface Ethernet0/1.120

vlan 1222

nameif fw-out

security-level 50

ip address 172.16.61.1 255.255.255.0

 

Измененная конфигурация ASA 5515-X

! Physical Interface

interface GigabitEthernet0/1

no nameif

no security-level

no ip address

no shutdown

! Creating Subinterfaces on interface G0/1 (two logical networks)

interface GigabitEthernet0/1.1201

vlan 1222

nameif fw-out

security-level 50

ip address 172.16.61.1 255.255.255.0

 

Изменения конфигурации порта управления

Существенное отличие платформы ASA 5500-X состоит в том, что у служб IPS и межсетевой защиты есть общий порт управления, но больше его ни для каких целей использовать нельзя. Учитывайте, что после перехода его не получится использовать как порт данных или как элемент конфигурации с high-accesibility (в 5500 серии это было возможно). Если на предыдущей платформе вы так делали, при миграции обязательно переносите конфигурационные настройки этого порта управления на один из портов данных Gigabit с номером выше G0/3. Ниже показано, как это делается, на примере миграции с ASA 5520 на ASA 5525-X.

Конфигурация ASA 5520

! Dedicated Management Interface

interface Management0/0

no nameif

no security-level

no ip address

no management-only

no shutdown !

 

! Subinterfaces on interface M0/0

interface Management0/0.120

vlan 1222

nameif fw-out

security-level 50

ip address 172.16.61.1 255.255.255.0

 

Конфигурация ASA 5515-X

! Dedicated Management Interface

interface Management0/0

no nameif

no security-level

no ip address

management-only

no shutdown

 

! Management Interface Migrated to GigabitEthernet0/3

interface GigabitEthernet0/3

no nameif

no security-level

no ip address

no shutdown

! Subinterfaces on interface G0/3

 

interface GigabitEthernet0/3.1201

vlan 1222

nameif fw-out

security-level 50

ip address 172.16.61.1 255.255.255.0

 

В Cisco ASA 5500 отсутствует интерфейс GigabitEthernet0/3 поэтому, при переходе на более позднюю версию, конфигурации конфликтовать между собой не должны.

Таким же образом, если ранее вы использовали интерфейс управления для конфигурации переключения при сбоях, перенесите его на какой-либо новый неиспользуемый интерфейс 5500-X.

Как корректно переносить сервисы ASA и IPS? Тут возможны несколько вариантов, потому что, как упоминалось выше, для служб IPS и межсетевого экрана в 5500-Х теперь выделен один общий порт управления, тогда как раньше использовались разные. Здесь подробно описаны четыре возможных сценария, рекомендуем внимательно изучить их и выбрать подходящий.

 

Перенос конфигурации IPS

Непосредственно при переносе файла конфигурации IPS вручную менять уже ничего не понадобится, если вы провели всю необходимую, описанную выше подготовку.  На всякий случай еще раз перепроверьте, правильно ли настроен порт управления.

Не забудьте, что IPS активируется в два этапа, для которых вам понадобится лицензия не только на устройство ASA, но и на сам сервис IPS.

 

Итоги

Как видите, миграция с устройств ASA серии 5500 на ASA 5500-X, выполняется в несколько этапов, часть из них автоматизирована, а некоторые придется выполнить вручную.

Мы постарались описать основные шаги, в каком порядке это делать и на что стоит обратить внимание, чтобы после перехода новое оборудование работало корректно и выполняло возложенные на него функции.

Подпишитесь!
Оставьте адрес и каждую среду мы будем высылать Вам свежую статью

Смотрите также:

Cisco ASA 5506-X схема подключения Обновление Cisco ASA 5506-X

Подробная инструкция по первоначальной активации, настройке и обновлению Cisco ASA 5506-X. Выкладываем для всех интересующихся со фото скриншотов и описанием.

Cisco Catalyst настройка Настройка Cisco Catalyst

Наши предложения по профессиональной настройке коммутаторов Cisco Catalyst, а также маршрутизаторов, устройств сетевой безопасности Cisco ASA. Настраиваем свитчи Cisco Catalyst 2900, 3500, 3700 и других серий, маршрутизаторы, устройства сетевой безопасности ASA 5500, 5600 серий. Квалификация наших инженеров подтверждена сертификатами Cisco.

Cisco Firepower настройка Настройка Cisco Firepower

Предлагаем услуги настройки и интеграции в ИТ-систему Firepower Cisco ASA. Надежная система защиты сетей при помощи Cisco Firepower защитит внутренние ресурсы компании от внешних угроз, вычислит и нейтрализует атаки.

it outsoursing ИТ аутсорсинг, обслуживание организаций

Поручив нам IT аутсорсинг обслуживания компьютерного и сетевого оборудования, вы получите в свое распоряжение действительно высококвалифицированных специалистов и при этом сократите затраты на ИТ, как минимум, на 30-40%

модернизация айти инфраструктуры Модернизация ИТ-систем

Предлагаем комплекс услуг по модернизации ИТ-инфраструктуры компаний. Решаем задачи по реорганизации, расширению существующих ит-систем, аудит, проектирование, подбор и закупка оборудования и ПО, отладка ИТ-системы под задачи клиента, техобслуживание