Сделать домашней|Добавить в избранное
 

CCIENetLab - Подготовка к экзаменам
CCNA, CCNP и CCIE

 

L2L IPSEC туннель между IOS маршрутизаторами c NAT

Автор: Sauron от 14-11-2015, 23:30
L2L IPSEC туннель между IOS маршрутизаторами c NAT

В этом документе мы рассмотрим конфигурацию, которая демонстрирует построение IPSEC VPN туннеля между двумя Cisco IOS маршрутизаторами, защищающим две приватные сети, но с учетом настроек NAT или PAT для доступа в Интернет.

L2L IPSEC туннель между IOS маршрутизаторами.

Автор: Sauron от 14-11-2015, 21:36
L2L IPSEC туннель между IOS маршрутизаторами.

В этом документе мы рассмотрим простейшую конфигурацию, которая демонстрирует построение IPSEC туннеля между двумя Cisco IOS маршрутизаторами.

DNS Doctoring на ASA 9.x. Часть II

Автор: Sauron от 4-11-2015, 10:16
DNS Doctoring  на ASA 9.x. Часть II

В первой части мы рассмотрели как работает функционал модификации DNS A-записей (DNS Doctoring) на ASA в проходящих DNS – пакетах, а также показали на примере альтернативные методы доступа к хостам с помощью Destination NAT, в случае когда DNS Doctoring не работает.

В этой части мы продолжим рассмотрение примеров взаимодействия клиентов с хостами и DNS сервером. В прошлой статье, мы показали примеры Destination NAT, когда клиент и веб-сервер находятся за разными интерфейсами ASA. Давайте посмотрим на пример, когда клиент и веб-сервер находятся за одним и тем же интерфейсом ASA, например, inside, а DNS сервер расположен во внешней сети.

DNS Doctoring на ASA 9.x. Часть I

Автор: Sauron от 2-11-2015, 18:15
DNS Doctoring  на ASA 9.x.  Часть I

В этом документе мы опишем простую конфигурацию для выполнения инспектирования DNS на ASA (Domain Name System (DNS) doctoring), которое используется в Object NAT / Auto NAT.

Функционал инспектирования DNS doctoring позволяет устройству безопасности ASA перезаписывать (rewrite) DNS A-записи и PTR-записи.

Примеры NAT и PAT на ASA 9.x

Автор: Sauron от 29-10-2015, 15:35
Примеры NAT и PAT на ASA 9.x

В данном документе рассматриваются примеры конфигурации NAT и PAT для ASA 9.x. Данные примеры также подойдут для ASA 8.3 и выше

В версии ASA 8.3 и выше больше не используются ACL в конфигурациях NAT. Также очень редко теперь используются IP адреса непосредственно в строках конфигурации NAT. Новый формат NAT теперь использует понятие “сетевой объект ” (object network), “сервисный объект” (object service) и “сетевая группа” (object-group network) для определения параметров конфигурации NAT.

Конфигурация Twice NAT на ASA 9.x

Автор: Sauron от 28-10-2015, 16:49
Конфигурация Twice NAT на ASA 9.x


В данной статье мы рассмотрим принципы работы и конфигурации Twice NAT. При помощи данного типа NAT можно сделать две принципиальные вещи, которые нельзя сделать при помощи object NAT:

  1. Трансляции одной и той же сети в разные адреса в зависимости от того, в какую сеть идет пакет.
  2. Статическая трансляция диапазона (или группы) портов кучкой. Например, пробросить целиком диапазон с 1024 по 65535.
Так же все, что можно сделать с помощью Object NAT делается и с помощью Twice NAT. Однако, последний требует, чтобы правила были сконфигурированы в правильном порядке, для того, чтобы обеспечить ожидаемое поведение. При Object NAT, ASA автоматизирует порядок обработки NAT правил, чтобы избежать конфликтов.

Конфигурация Object NAT на ASA 9.x

Автор: Sauron от 27-10-2015, 17:29
Конфигурация Object NAT на ASA 9.x

В этом документе мы рассмотрим простой пример конфигурации NAT и листов доступа на ASA Firewall версии 8.4 и выше для того, чтобы обеспечить прохождение исходящего и входящего трафика. В этом примере вы сможете увидеть, что для того, чтобы разрешить входящий доступ к Web-серверу расположенному в DMZ и разрешить исходящий трафик от внутренних хостов необходимо на ASA Firewall настроить трансляцию адресов NAT и листы доступа ACL. В этом примере используется Firewall Cisco ASAv (Virtual ASA) версии 9.4.1

Authentication Proxy - Перехватывающая аутентификация на Cisco роутерах

Автор: Sauron от 30-06-2015, 18:26
Authentication Proxy - Перехватывающая аутентификация на Cisco роутерах

Задача перехватывающей аутентификации (Authentication Proxy) – проверять имя и пароль пользователя перед тем, как выпустить его наружу или пустить внутрь периметра вашей сети. Это часть общей идеологии IBNS (Identity Based Network System), где определяющим является имя пользователя и именно по имени можно сопоставлять настройки конкретного клиента, например, список доступа, в котором описано, что можно данному клиенту.

Как правило пользователь блокируется листом доступа на интерфейсе маршрутизатора, до того как будет он будет авторизован. Маршрутизатор перехватывая трафик пользователя, авторизует его по выбранному протоколу во внешней базе данных, после чего к интерфейсу маршрутизатора применяется лист доступа (ACL) разрешающий конкретно данному пользователю доступ к выбранному ресурсу или сети Интернет.

Zone Based Firewall (ZBF) на Cisco маршрутизаторах

Автор: Sauron от 21-06-2015, 13:32
Zone Based Firewall (ZBF)  на Cisco маршрутизаторах

Zone Based Firewall (ZFW) – новое направление на маршрутизаторах под управлением операционной системы Cisco IOS для конфигурирования правил доступа между сетями. До появления этой технологии трафик фильтровался с помощью списков доступа ACL и динамической инспекции трафика Context-Based Access Control (CBAC). И ACL и правила CBAC’а применялись непосредственно на физические интерфейсы, что во многих случаях не способствует масштабируемости и гибкости решения. Весь трафик, проходящий через интерфейс, получал ту же самую инспекционную политику. Такая модель конфигурации ограничивает степень детализации политик межсетевого экрана и вызывает путаницу правильного применения политики межсетевого экранирования, особенно в сценариях, когда политика межсетевого экрана должна применяться между несколькими интерфейсами.
 

CCIENetLab (C)