Cisco ASA: Configurando Interfaces.

      No Comments on Cisco ASA: Configurando Interfaces.

Cisco ASA: Configurando Interfaces.

Muy bien estimados, es la hora de ver configuraciones sobre interfaces, veamos que cosas interesantes podemos realizar.

Configurando parámetros de interfaces

La configuración de una interface en un Cisco ASA no es muy diferente a la de un Router, para esto necesitamos configurar lo siguiente:

  • Dirección IP
  • Nombre de interface
  • Nivel de seguridad
  • Velocidades y modos de operación (opcional)

asa-3-1

Al momento de configurar el nombre de la interface, el ASA propone niveles de seguridad según el nombre que hayamos otorgado, por ejemplo si configuramos la interface con el nombre ‘outside’, el ASA automáticamente le asignará un nivel de seguridad 0, lo cual hace referencia a la zona menos segura, sin embargo si configuramos la interface con el nombre ‘inside’, el ASA le asignará un nivel de seguridad 100, la cual hace referencia a la zona más segura. Por ´filosofía´ el ASA permite pasar tráfico desde una interface con un nivel mayor de seguridad hacia una interface con menor nivel de seguridad; deniega el tráfico si este proviene de un nivel de seguridad menor a uno mayor, como también deniega el tráfico si este proviene y se dirige a una interface con los mismos niveles de seguridad, esto se aplica solamente para el flujo inicial de datos, sin embargo podemos ‘romper las reglas’ agregando listas de acceso ACL.

asa-3-2

asa-3-3

Mapeo de Vlans en el ASA 5505

Por defecto el ASA 5505 mapea la interface ETH0/0 hacia la Vlan 2 y las interfaces restantes hacia la Vlan 1, las 8 interfaces existentes son ligadas a un Switch interno de 8 puertas, el mapeo de una interface seria la misma aplicada en la puerta de un Switch.

Configurando interfaces redundante

Por defecto cada interface física de un ASA funciona de forma independiente de otra interface y a su vez puede estar en 2 estados operativos (up | down), si una interface se encuentra en estado down , el ASA no podrá enviar ni recibir información por la misma, para evitar este tipo de escenarios, es posible configurar las interfaces como pares redundantes, esto genera estados en las interfaces perteneciente al mismo ‘dominio de interfaces’ los cuales son active y standby, el punto es que si se tiene configurado este feature las velocidades se mantienen, esto quiere decir que el tráfico solo pasa por un enlace hasta que por algún motivo se encuentre en down, con esto el miembro standby cambia su estado a active y empieza a trabajar. Un punto a tener en cuenta es que los miembros de una interface redundante no pueden tener IP, nivel de seguridad y nombre de interface, el ASA automáticamente eliminará estos valores de los interfaces físicas que sean miembros de una redundante. La MAC generada para la interface redundante será la de la interface física que fue agregada en primera instancia y por ende será la que pasará a estado activo. La configuración de interfaces redundantes se muestra a continuación.

asa-3-4

A continuación se muestra la verificación de una interface redundante, nos podemos dar cuenta que la interface Giga 2 es la que se encuentra en esta activo.

asa-3-8

Configurando EtherChannel

La configuración de EtherChannel nos provee 2 cosas importantes, alta disponibilidad y mayor ‘bandwidth’ al poder unir desde 2 interfaces físicas y como máximo 8  para poder trabajarlas como 1 lógica. Hay que tener en cuenta que todas las interfaces deben de ser del mismo tipo, tener la misma velocidad, modo de operación antes de que el EtherChannel sea armado. Para la negociación se usa LACP, los paquetes LACP son intercambiados entre el ASA y el Switch sobre las interfaces que serán parte del EtherChannel, el ASA y el Switch usan el denominado ‘System Priority’ para decidir quién es el que tomará decisiones sobre que interfaces que están participando activamente en el EtherChannel.

A continuación se muestra la configuración de un Port-channel y su verificación con el key ‘show port-channel summary’

asa-3-5

 

Verificación de interface

Para la verificación de interfaces podemos usar los siguientes comandos:

  • Show ip
  • Show interface ip brief
  • Show interfaces
  • Show interface redundant <id>
  • Show port-channel port
  • Show port-channel summary

Bueno estimados, con esto concluimos la parte de ‘Cisco ASA: Configurando Interfaces‘, espero que haya sido de su agrado,  la próxima semana se viene la parte de conectividad mediante el Cisco ASA.