Cisco 2960 Switch, ASA 5520 Firewall

[cicou]

Merhaba arkadaşlar,

Şu an Moğolistan'da bir proje üzerine çalışmaktayım. Konfigüre etmem gereken bir switch var elimde. Bunu acilen yetiştirmem lazım. Network şemasını resim halinde göndermeye çalıştım ama umarım olmuştur.

ImageShack® - Online Photo and Video Hosting


Elimizde bir adet Cisco ASA 5520 firewall ve bir adet Cisco 2960 Switch var. Hayatımda hiç switch konfigürasyonu yapmadım. Firewall konusunda kendi yazılımında bişeyler kurcaladım. Şemada da göreceğiniz üzere Firewall'da 4 adet interface tanımlı. Bunlar: Mobicom VPN, NDC WAN, AMR Server ve Swicth (yani switche bağlı üç adet bilgisayar). firewall konfigürasyonuna göre AMR server internete çıkabiliyor, ve uzaktan erişime 3389 portu ile izin verilebiliyor. Statik bir IP tanımlı. Aynı zamanda MobicomVPN ile bağlantı kurabiliyor. Aynı şekilde Switch'e bağlı bilgisayarlar da internete çıkabiliyorlar ve MobicomVPN'e bağlanabiliyorlar. Fakar bu bilgisayarların AMR server ile bağlantılarını yapamadım. Switch tarafında bişeyleri ayarlamam gerektiğini düşünüyorum. Ama beceremedim. Konsoldan switch'e bağlanmayı başardım.
Mevcut konfigürasyonda, switch'e bağlı bilgisayarlar 192.168.3.X iplerini alıyorlar.
AMR Server 192.168.6.2 iç IP'sine sahip.
MobicomVPN 192.186.5.X uzayında. Aynı zamanda bu VPN'in içine route edilmiş birden çok saha cihazı var (GPRS Modem) Her cihazın 10.85.0.X'li IP'si var. Bunlara erişimde AMR server ve Switch'e bağlı bilgisayarlarda bir sorun yok. Aynı zamanda bu cihazlar belli bir port aracılığı ile AMR Server'a bilgi gönderiyorlar. Bunda da bir problem yok.

Kendi laptop'um ile switch'in portlarından birine bağlandım ve bana otomatik olarak 192.168.3.102 IP'sini verdi. Bu şekilde diğer bağlı bilgisayarları pingleyemedim.

Konsoldan show running-config yazdığımda aşağıdakiler geliyor. Sanıyorum ki hiç bir konfigürasyon yapılmamış.

Kod:

Current configuration : 1266 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address dhcp
 no ip route-cache
!
ip http server
ip http secure-server
!
control-plane
!
!
line con 0
line vty 5 15
!
end

Benim istediğim şeye gelince: Switch'e bağlı bilgisayarların birbirleriyle haberleşmesinin önemi yok ama mutlaka bu bilgisayarların AMR Server ile haberleşebilimesi gerekiyor.

Bu konuda bana yardımcı olacak kişi ya da kişilere çok uzaklardan dua edeceğim. Çok çok edeceğim hem de

Şimdiden teşekkürler....

Cihan

[cicou]

Değerli arkadaşlardan birisi - trunkmode - böyle bir öneride bulunmuş. Öncelikle kendisine cevap verdiği için teşekkür ederim.

Merhaba,öncelikle uzakta olan size sevgiler selamlar.
Anlaşılan ortamda bir dhcp server var siz switchporta taktığınızda vlan 1'e dahil olup 192.168.3.0 bloğundan
ip adresi alıyorsunuz fakat bağlanmak istediğiniz AMR Server 192.168.6.0 bloğunda bu durumda Ip Routing yapmalısınız
fakat bunu switchden yapamazsınız Layer 2 switch olduğu için . Bu durumda ASA'dan yapmanız gerekli sanırım ASA' yada erişiminiz
var biraz dikkatle incelerseniz yapabileceğinizi sanıyorum. Kolay gelsin.

Bunları denedim ama başarı sağlayamadım. Vlan 1'e dahil olup otomatik olarak 192.168.3.0 bloğundan ip alan bilgisayarlar neden birbirilerini göremiyor onu da anlamış değilim. Gerçi ana problem bu değil ama bu ip bloğunun 192.168.6.0 bloğu ile haberleşmesi için firewall'dan yaptığım ip routingler işe yaramıyor. Diğer interface'lerin birbirleriyle olan haberleşmerinde bir problem yok. Onları da ben konfigüre ettim ama bunda sorun çıkıyor. Lütfen yardımcı olun. Gerçekten çok az zamanım kaldı. Bunu bir an önce çözmem gerekiyor. server ile swithe bağlı bilgisayarların birbirleriyle haberleşmesi çok önemli. Çünkü adamlar olan biten herşeyi o bilgisayarlardan görecekler. Bu arada NAT ayarlarında da bir problem yok.

Yardımlarınız için şimdiden teşekkürler.

Herkese iyi çalışmalar.

Cihan.

[hudaikoyuncu]

Merhaba,

Sanıyorum AMR-server ile switche bağlı PClerin haberleşememesinin sebebi security-level konusu ile ilgiliı. AMR-Serverin bağlı bulunduğu portun security-level değeri sanırsam switch uplinkinin bağlı bulunduğu portun security-levelından yüksek. Bu nedenle switchinize bağlı PCler AMR'e servera ulaşamıyordur. "Traffic from a lower to a higher security level is denied, by default, unless you explicitly permit it by configuring access control lists (ACLs)" ifadesinden de anlaşılacağı üzere erişime izin vermeye yönelik bir ACL yazarsanız sorunu çözebilirsiniz.

[cicou]

Merhaba,

Sanıyorum AMR-server ile switche bağlı PClerin haberleşememesinin sebebi security-level konusu ile ilgiliı. AMR-Serverin bağlı bulunduğu portun security-level değeri sanırsam switch uplinkinin bağlı bulunduğu portun security-levelından yüksek. Bu nedenle switchinize bağlı PCler AMR'e servera ulaşamıyordur. "Traffic from a lower to a higher security level is denied, by default, unless you explicitly permit it by configuring access control lists (ACLs)" ifadesinden de anlaşılacağı üzere erişime izin vermeye yönelik bir ACL yazarsanız sorunu çözebilirsiniz.

Security Level'lar aynı ve 0, onları değiştirmeyi de denedim. NAT ayarları da yapılmış durumda. ACL kısmını nerden yapacağımı bilmiyorum. Firewall'a ASDM üzerinden ulaşıyorum. Comman line interface de kullanabilirim. bu konuda bilgi verirseniz sevinirim. Ayrıca aynı level'daki interface'lerin haberleşmesine de izin verilecek şekilde konfigürasyonu yapmış durumdayım...

[hudaikoyuncu]

Merhaba,

Aynı levellera sahip interfacelerin haberleşmesini konfigure etmişsiniz. Bir daha deneyelim:

Command line'da konfigurasyon moduna girerek

same-security-traffic permit inter-interface

komutunu çalıştırın. Bildiğime göre, bu komut sonrasında aksi bir ACL olmadığı sürece aynı security-level a sahip interfaceler birbiri ile haberleşebilir. Tekrar deneyin, haberleşmiyor ise büyük bir ihtimalle iki interface arasında erişimi engelleyici bir ACL vardır diye tahmin ediyorum.

Çıkmak üzereyim. Hemen geri dönüş yaparsanız sevinirim.

[cicou]

Merhaba,

Aynı levellera sahip interfacelerin haberleşmesini konfigure etmişsiniz. Bir daha deneyelim:

Command line'da konfigurasyon moduna girerek

same-security-traffic permit inter-interface

komutunu çalıştırın. Bildiğime göre, bu komut sonrasında aksi bir ACL olmadığı sürece aynı security-level a sahip interfaceler birbiri ile haberleşebilir. Tekrar deneyin, haberleşmiyor ise büyük bir ihtimalle iki interface arasında erişimi engelleyici bir ACL vardır diye tahmin ediyorum.

Çıkmak üzereyim. Hemen geri dönüş yaparsanız sevinirim.

Dediğinizi yaptım ve son konfigürasyonu gönderiyorum. Değişen birşey olmadı maalesef.

Kod:

Result of the command: "show run"



: Saved
:
ASA Version 7.0(8) 
!
hostname *********
domain-name default.domain.invalid
enable password ************* encrypted
passwd ************ encrypted
names
dns-guard
!
interface GigabitEthernet0/0
 nameif Static_IP_Internet
 security-level 0
 ip address (xxx.xxx.xxx.xxx) 255.255.255.240 
!
interface GigabitEthernet0/1
 nameif MobicomVPN
 security-level 0
 ip address 192.168.5.2 255.255.255.0 
!
interface GigabitEthernet0/2
 nameif AMRServer
 security-level 0
 ip address 192.168.6.1 255.255.255.0 
!
interface GigabitEthernet0/3
 nameif AMRWorkstations
 security-level 0
 ip address 192.168.3.1 255.255.255.0 
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
 management-only
!
ftp mode passive
dns domain-lookup Static_IP_Internet
dns name-server (xxx.xxx.xxx.xxx)
dns name-server (xxx.xxx.xxx.xxx)
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging enable
logging asdm informational
mtu Static_IP_Internet 1500
mtu MobicomVPN 1500
mtu AMRServer 1500
mtu AMRWorkstations 1500
mtu management 1500
no failover
monitor-interface Static_IP_Internet
monitor-interface MobicomVPN
monitor-interface AMRServer
monitor-interface AMRWorkstations
monitor-interface management
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (Static_IP_Internet) 1 interface
global (MobicomVPN) 1 interface
global (AMRServer) 1 interface
global (AMRWorkstations) 1 interface
nat (MobicomVPN) 1 192.168.5.0 255.255.255.0
nat (AMRServer) 1 192.168.6.2 255.255.255.255
nat (AMRWorkstations) 1 192.168.3.0 255.255.255.0
nat (management) 0 0.0.0.0 0.0.0.0
static (AMRServer,Static_IP_Internet) tcp interface 3389 192.168.6.2 3389 netmask 255.255.255.255 
static (AMRServer,MobicomVPN) tcp interface 32010 192.168.6.2 32010 netmask 255.255.255.255 
route Static_IP_Internet 0.0.0.0 0.0.0.0 180.149.64.225 1
route MobicomVPN 10.85.0.0 255.255.248.0 192.168.5.1 1
route MobicomVPN 10.2.31.0 255.255.255.0 192.168.5.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username mobicom password agLtpPA7lfnhLIv5 encrypted privilege 15
http server enable
http 0.0.0.0 0.0.0.0 Static_IP_Internet
http 0.0.0.0 0.0.0.0 MobicomVPN
http 0.0.0.0 0.0.0.0 AMRServer
http 0.0.0.0 0.0.0.0 AMRWorkstations
http 192.168.1.0 255.255.255.0 management
http 192.168.0.0 255.255.255.0 management
http 0.0.0.0 0.0.0.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
isakmp enable MobicomVPN
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 28800
telnet 0.0.0.0 0.0.0.0 MobicomVPN
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.3.100-192.168.3.199 AMRWorkstations
dhcpd dns (xxx.xxx.xxx.xxx)(xxx.xxx.xxx.xxx)
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable AMRWorkstations
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
Cryptochecksum:71cdc7ad50006710ee8d5d44348e0f1f
: end

[hudaikoyuncu]

show route komut çıktısını gönderir misiniz?

[cicou]

show route komut çıktısını gönderir misiniz?

xxx şeklide olan yerler statik IP adresidir. Güvenlik için göstermek istemedim...

Kod:

Result of the command: "show route"


S    0.0.0.0 0.0.0.0 [1/0] via (xxx.xxx.xxx.xxx), Static_IP_Internet 
S    10.2.31.0 255.255.255.0 [1/0] via 192.168.5.1, MobicomVPN 
S    10.85.0.0 255.255.248.0 [1/0] via 192.168.5.1, MobicomVPN 
C    (xxx.xxx.xxx.xxx) 255.255.255.240 is directly connected, Static_IP_Internet
C    192.168.3.0 255.255.255.0 is directly connected, AMRWorkstations
C    192.168.5.0 255.255.255.0 is directly connected, MobicomVPN
C    192.168.6.0 255.255.255.0 is directly connected, AMRServer

[hudaikoyuncu]

show access-list komutunu çalıştırın. komut çıktısını bir yere kopyalayın. PCden AMRServer'a 3-4 kez ulaşmayı deneyin. (Ping, http vs. hangi porttan hizmet veriyorsa ona göre bir erişim isteği yaratın.) Daha sonra show access-list komutunu tekrar çalıştırın. İlki ve sonraki komut çıktılarında hitcnt sayısının değiştiği bir deny tipi ACL varsa sorunu o ACL yaratıyordur.

Bekliyorum.

[cicou]

show access-list komutunu çalıştırın. komut çıktısını bir yere kopyalayın. PCden AMRServer'a 3-4 kez ulaşmayı deneyin. (Ping, http vs. hangi porttan hizmet veriyorsa ona göre bir erişim isteği yaratın.) Daha sonra show access-list komutunu tekrar çalıştırın. İlki ve sonraki komut çıktılarında hitcnt sayısının değiştiği bir deny tipi ACL varsa sorunu o ACL yaratıyordur.

Bekliyorum.

sadece Server'a uzaktan bağlanabiliyorum. Bugün cumartesi olduğu için deneme şansım yok maalesef diğer bilgisayardan. Ama Server'dan o cihaza ping atmak istediğimde ise "No translation group found for icmp src AMRServer: 192.68.6.2 dst AMRWorkstations: 192.168.3.2 (type 8, code 0)" hatası alıyorum ASDM üzerindeki loglarda.
Show access-list komutu için de önceki ve sonraki çıktılar arasında hiç bir fark yok, yani serverdan diğer bilgisayara ulaşmaya çalıştım. aşağıda onları da gönderiyorum.


-----------------------------------------------------------------------------------
Result of the command: "show access-list"

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
---------------------------------------------------------------------------------------

Result of the command: "show access-list"

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
----------------------------------------------------------------------------------------