VietNetwork.Vn

FireWall Cisco một dòng sản phẩm được đông đảo quý khách hàng trên thị trường ưa chuộng, sử dụng. Ở phần trươc CiscoData đã giới thiệu tới các bạn những tính năng mới của FireWall Cisco và phần tiếp theo này chúng tôi sẽ gửi tới quý bạn đọc các cấu hình cơ bản Firewall Cisco. Xin mời các bạn cũng tìm hiểu.


Tòm tắt nội dung bài viết này CiscoData sẽ gửi đến các bạn những nội dung cơ bản như:

Cấu hình Hostname, Domain Name và Passwords
Đặt ngày và giờ
Cấu hình cụm mật khẩu chính
Cấu hình máy chủ DNS

Chúng ta sẽ bắt tay ngay vào với các Config cơ bản là thay đổi mật khẩu đăng nhập, thay đổi kích hoạt mật khẩu.
Cấu hình Hostname, Domain Name và Passwords

Để thay đổi mật khẩu bạn có thể sử dụng câu lệnh

{ passwd | mật khẩu } mật khẩu

Mật khẩu đăng nhập ở đây được sử dụng cho các kết nối Telnet và SSH.

Các bạn lưu ý là với các thiết bị chưa Config thì mặc định mật khẩu sẽ là " Cisco ", đặc điểm này thường được áp dụng với các thiết bị chính hãng của Cisco.

Bạn có thể nhập password hoặc mật khẩu . Mật khẩu là mật khẩu có phân biệt chữ hoa chữ thường lên đến 16 ký tự chữ và số và ký tự đặc biệt. Bạn có thể sử dụng bất kỳ ký tự nào trong mật khẩu ngoại trừ dấu chấm hỏi hoặc dấu cách.

Mật khẩu được lưu trong cấu hình dưới dạng mã hóa, vì vậy bạn không thể xem mật khẩu ban đầu sau khi nhập mật khẩu. Sử dụng lệnh không có mật khẩu để khôi phục mật khẩu về cài đặt mặc định.
Thay đổi và kích hoạt mật khẩu

Bạn sử dụng dòng lệnh

hostname (config) # passwd Pa $$ w0rd

Mục đích của dòng lệnh này chính là thay đổi mật khẩu cho phép, cho phép bạn vào chế độ EXEC đặc quyền. Theo mặc định, mật khẩu cho phép trống.

Đối số mật khẩu là mật khẩu phân biệt chữ hoa chữ thường lên đến 16 ký tự chữ và số và ký tự đặc biệt. Bạn có thể sử dụng bất kỳ ký tự nào trong mật khẩu ngoại trừ dấu chấm hỏi hoặc dấu cách.

Lệnh này thay đổi mật khẩu cho cấp đặc quyền cao nhất. Nếu bạn định cấu hình ủy quyền lệnh cục bộ, bạn có thể đặt bật mật khẩu cho từng cấp đặc quyền từ 0 đến 15.

Mật khẩu được lưu trong cấu hình dưới dạng mã hóa, vì vậy bạn không thể xem mật khẩu ban đầu sau khi nhập mật khẩu. Nhập lệnh bật mật khẩu mà không có mật khẩu để đặt mật khẩu thành mặc định, để trống.
Đặt tên máy chủ cho thiết bị

hostname tên
Thí dụ:
hostname (config) # hostname farscape
farscape (config) #

Chỉ định tên máy chủ cho ASA hoặc cho ngữ cảnh.

Tên này có thể lên đến 63 ký tự. Tên máy chủ phải bắt đầu và kết thúc bằng một chữ cái hoặc chữ số và có ký tự bên trong chỉ chữ cái, chữ số hoặc dấu gạch ngang.

Khi bạn đặt tên máy chủ cho ASA, tên đó xuất hiện trong lời nhắc dòng lệnh. Nếu bạn thiết lập phiên cho nhiều thiết bị, tên máy chủ sẽ giúp bạn theo dõi vị trí bạn nhập lệnh. Tên máy chủ mặc định tùy thuộc vào nền tảng của bạn.

Đối với nhiều chế độ ngữ cảnh, tên máy chủ mà bạn đặt trong không gian thực hiện hệ thống xuất hiện trong lời nhắc dòng lệnh cho tất cả các ngữ cảnh. Tên máy chủ mà bạn tùy ý đặt trong ngữ cảnh không xuất hiện trong dòng lệnh, nhưng có thể được sử dụng bởi lệnh biểu ngữ $ (tên máy chủ) mã thông báo.
Đặt tên miền cho thiết bị

miền tên tên
Thí dụ:
tên máy chủ (config) # tên   Đăng nhập để xem liên kết

Chỉ định tên miền cho ASA. ASA gắn thêm tên miền dưới dạng hậu tố cho các tên không đủ tiêu chuẩn. Ví dụ: nếu bạn đặt tên miền thành "example.com" và chỉ định máy chủ syslog theo tên không đủ tiêu chuẩn của "jupiter", thì ASA đủ điều kiện tên thành "jupiter.example.com".
Tên miền mặc định là default.domain.invalid.

Đối với nhiều chế độ ngữ cảnh, bạn có thể đặt tên miền cho mỗi ngữ cảnh, cũng như trong không gian thực thi hệ thống.
Đặt ngày và giờ

Sự khác biệt trong phần này có lẽ chính là việc lựa chọn sử dụng và đặt phạm vi ngày giờ khác nhau.
– Đặt phạm vi ngày giờ theo múi giờ và múi giờ tiết kiệm ánh sáng ban ngày
– Đặt ngày và giờ bằng máy chủ NTP
– Đặt ngày và giờ theo cách thủ công
Để thực hiện những điều đó bạn hãy làm theo các bước sau:

Bước 1
đồng hồ múi giờ khu [ – ] giờ [ phút ]
Thí dụ:
tên máy chủ (config) # múi giờ đồng hồ PST -8

Mục đích chính đó là đặt múi giờ. Theo mặc định, múi giờ là UTC và phạm vi ngày giờ tiết kiệm ánh sáng ban ngày là từ 2:00 sáng vào Chủ nhật đầu tiên trong tháng 4 đến 2:00 sáng vào Chủ nhật cuối cùng trong tháng 10.

Trong trường hợp khu vực xác định múi giờ như là một chuỗi, ví dụ, PST cho Giờ chuẩn Thái Bình Dương.
Giá trị giờ [ – ] thiết lập số giờ bù đắp từ UTC. Ví dụ, PST là -8 giờ.
Các phút giá trị thiết lập số phút của bù đắp từ UTC.

Bước 2
Để thay đổi phạm vi ngày cho thời gian tiết kiệm ánh sáng ban ngày từ mặc định, hãy nhập một trong các lệnh sau. Phạm vi ngày lặp lại mặc định là từ 2:00 sáng vào Chủ Nhật thứ hai trong tháng 3 đến 2:00 sáng vào Chủ nhật đầu tiên của tháng 11.
Đồng hồ mùa hè thời gian khu vực ngày { ngày tháng | ngày tháng } năm hh : mm { ngày tháng | ngày tháng } năm hh : mm [ bù trừ ].

Thí dụ:
hostname (config) # đồng hồ giờ mùa hè PDT 1 tháng 4 năm 2010 2:00 60

Đặt ngày bắt đầu và ngày kết thúc cho thời gian tiết kiệm ánh sáng ban ngày làm ngày cụ thể trong một năm cụ thể. Nếu bạn sử dụng lệnh này, bạn cần đặt lại ngày tháng mỗi năm.

Các khu vực có giá trị xác định múi giờ như là một chuỗi, ví dụ, PDT cho Pacific Daylight Time.

Các ngày giá trị đặt ngày trong tháng, từ 1 đến 31. Bạn có thể nhập ngày tháng như 01 tháng 4 hoặc 01 tháng tư , ví dụ, tùy thuộc vào định dạng ngày tháng tiêu chuẩn của bạn.

Các tháng giá trị đặt tháng như là một chuỗi. Bạn có thể nhập ngày và tháng vào ngày 1 tháng 4 hoặc ngày 1 tháng 4 , tùy thuộc vào định dạng ngày chuẩn của bạn.

Các năm giá trị đặt năm sử dụng bốn chữ số, ví dụ, năm 2004 . Phạm vi năm là năm 1993 đến năm 2035.

Các hh: mm giá trị đặt giờ và phút trong thời gian 24 giờ.

Các bù đắp giá trị đặt số phút để thay đổi thời gian cho tiết kiệm thời gian ban ngày. Theo mặc định, giá trị là 60 phút.
đồng hồ mùa hè thời gian khu định kỳ [ tuần tuần tháng hh : hh mm tuần tuần tháng : mm ] [ bù đắp ]

Thí dụ:
hostname (config) # đồng hồ thời gian mùa hè PDT định kỳ đầu tiên Thứ Hai Tháng Tư 2:00 60

Chỉ định ngày bắt đầu và ngày kết thúc cho thời gian tiết kiệm ánh sáng ban ngày, dưới dạng ngày và giờ trong tháng và không phải là ngày cụ thể trong một năm.

Lệnh này cho phép bạn đặt phạm vi ngày lặp lại mà bạn không cần phải thay đổi hàng năm. Các khu vực có giá trị xác định múi giờ như là một chuỗi, ví dụ, PDT cho Pacific Daylight Time.

Các tuần giá trị quy định cụ thể trong tuần của tháng là một số nguyên từ 1 đến 4 hoặc là những lời đầu tiên hoặc cuối cùng . Ví dụ: nếu ngày có thể rơi vào tuần thứ năm một phần, thì hãy chỉ định cuối cùng .

Các ngày trong tuần giá trị xác định ngày trong tuần: Thứ Hai , Thứ Ba , Thứ Tư ,... Các tháng giá trị đặt tháng như là một chuỗi. Các hh: mm giá trị đặt giờ và phút trong thời gian 24 giờ.

Các bù đắp giá trị đặt số phút để thay đổi thời gian cho thời gian tiết kiệm ánh sáng ban ngày. Theo mặc định, giá trị là 60 phút.
Đặt ngày và giờ bằng máy chủ NTP

Để thực hiện đặt ngày và giờ bằng máy chủ NTP bạn cần thực hiện theo các bước sau.

Bước 1: NTP xác thực
Thí dụ:
hostname (config) # ntp xác thực
Bật xác thực với máy chủ NTP.

Bước 2 : NTP tin cậy-key KEY_ID
Thí dụ:
tên máy chủ (config) # ntp khóa tin cậy 1

Chỉ định ID khóa xác thực là khóa đáng tin cậy, được yêu cầu để xác thực bằng máy chủ NTP.
Đối số key_id là giá trị từ 1 đến 4294967295. Bạn có thể nhập nhiều khóa tin cậy để sử dụng với nhiều máy chủ.

Bước 3
Khóa xác thực ntp key_id md5 chính
Thí dụ:
tên máy chủ (config) # ntp khóa xác thực 1 md5 aNiceKey
Đặt khóa để xác thực bằng máy chủ NTP.

Đối số key_id là ID bạn đã đặt trong Bước 2 bằng cách sử dụng lệnh khóa tin cậy ntp và đối số khóa là chuỗi dài tối đa 32 ký tự.

Bước 4
máy chủ ntp ip_address [ key key_id ] [ source interface_name ] [ thích ]
Thí dụ:
hostname (config) # ntp máy chủ 10.1.1.1 phím 1 thích
Xác định máy chủ NTP

Đối số key_id là ID bạn đã đặt trong Bước 2 bằng cách sử dụng lệnh khóa đáng tin cậy ntp .
Các nguồn interface_name cặp từ khóa luận xác định outgoing interface cho các gói NTP nếu bạn không muốn sử dụng giao diện mặc định trong bảng định tuyến. Bởi vì hệ thống không bao gồm bất kỳ giao diện nào trong nhiều chế độ ngữ cảnh, hãy chỉ định tên giao diện được xác định trong ngữ cảnh quản trị.

Các thích bộ từ khóa NTP server này như máy chủ ưa thích nếu nhiều máy chủ có độ chính xác tương tự. NTP sử dụng thuật toán để xác định máy chủ nào chính xác nhất và đồng bộ hóa với máy chủ đó. Nếu máy chủ có độ chính xác tương tự, thì từ khóa ưu tiên chỉ định máy chủ nào sẽ sử dụng các máy chủ đó.

Tuy nhiên, nếu máy chủ chính xác hơn đáng kể so với máy chủ ưu tiên, ASA sử dụng máy chủ chính xác hơn. Ví dụ, ASA sử dụng một máy chủ của tầng 2 trên một máy chủ của tầng 3 được ưa thích.

Lưu ý Trong chế độ nhiều ngữ cảnh, chỉ đặt thời gian trong cấu hình hệ thống.
Đặt ngày và giờ theo cách thủ công

Sử dụng dòng lệnh để đặt đồng hồ theo cách thủ công
đồng hồ bộ hh :

mm : ss { month day | ngày tháng } năm

Thí dụ:
hostname # clock set 20:54:00 ngày 1 tháng 4 năm 2004
Đặt thời gian ngày theo cách thủ công.

Các hh : mm : ss luận đặt giờ, phút và giây trong thời gian 24 giờ. Ví dụ: nhập 20:54:00 cho 8:54 tối.
Các ngày giá trị đặt ngày trong tháng, từ 1 đến 31. Bạn có thể nhập ngày tháng như 01 tháng 4 hoặc 01 tháng tư , ví dụ, tùy thuộc vào định dạng ngày tháng tiêu chuẩn của bạn.

Các tháng giá trị đặt tháng. Tùy thuộc vào định dạng ngày chuẩn của bạn, bạn có thể nhập ngày và tháng như tháng tư 1 hoặc là ngày 1 tháng 4 .

Các năm giá trị đặt năm sử dụng bốn chữ số, ví dụ, năm 2004 . Phạm vi năm là từ năm 1993 đến năm 2035.
Múi giờ mặc định là UTC. Nếu bạn thay đổi múi giờ sau khi bạn nhập lệnh đặt đồng hồ bằng lệnh múi giờ đồng hồ , thời gian sẽ tự động điều chỉnh theo múi giờ mới.

Lệnh này đặt thời gian trong chip phần cứng và không tiết kiệm thời gian trong tệp cấu hình. Lần này sẽ khởi động lại. Không giống như các lệnh đồng hồ khác , lệnh này là một lệnh EXEC đặc quyền. Để đặt lại đồng hồ, bạn cần đặt thời gian mới bằng lệnh đặt đồng hồ .
Cấu hình máy chủ DNS

Một số tính năng ASA yêu cầu sử dụng máy chủ DNS để truy cập các máy chủ bên ngoài theo tên miền; ví dụ, tính năng Lọc lưu lượng truy cập Botnet yêu cầu máy chủ DNS truy cập vào máy chủ cơ sở dữ liệu động và để giải quyết các mục nhập trong cơ sở dữ liệu tĩnh.

Các tính năng khác, chẳng hạn như lệnh ping hoặc traceroute , cho phép bạn nhập tên mà bạn muốn ping hoặc traceroute và ASA có thể giải quyết tên bằng cách liên lạc với máy chủ DNS. Nhiều SSL VPN và lệnh chứng chỉ cũng hỗ trợ tên.

Để biết thông tin về DNS động, hãy xem phần "Định cấu hình DDNS" .

Đảm bảo rằng bạn định cấu hình định tuyến thích hợp cho bất kỳ giao diện nào mà bạn bật tra cứu tên miền DNS để bạn có thể tiếp cận máy chủ DNS. Xem phần "Thông tin về định tuyến" để biết thêm thông tin về định tuyến.
Chi tiết các bước thực hiện

Bước 1
dns domain-lookup interface_name
Thí dụ:
hostname (config) # dns domain-lookup bên trong
Cho phép ASA gửi yêu cầu DNS tới máy chủ DNS để thực hiện tra cứu tên cho các lệnh được hỗ trợ.

Bước 2
nhóm máy chủ dns DefaultDNS
Thí dụ:
hostname (config) # dns máy chủ nhóm
DefaultDNS
Chỉ định nhóm máy chủ DNS mà ASA sử dụng cho các yêu cầu gửi đi.

Các nhóm máy chủ DNS khác có thể được cấu hình cho các nhóm đường hầm VPN. Xem lệnh nhóm-đường hầm trong tham chiếu lệnh để biết thêm thông tin.

Bước 3
name-server ip_address [ ip_address2 ]
[...] [ ip_address6 ]
Thí dụ:
tên máy chủ (config-dns-server-group) #
name-server 10.1.1.5 192.168.1.67
209.165.201.6

Chỉ định một hoặc nhiều máy chủ DNS. Bạn có thể nhập tất cả sáu địa chỉ IP trong cùng một lệnh, được phân tách bằng dấu cách hoặc bạn có thể nhập riêng từng lệnh. ASA cố gắng mỗi máy chủ DNS theo thứ tự cho đến khi nó nhận được phản hồi.
Theo dõi bộ nhớ cache DNS

ASA cung cấp một bộ nhớ cache địa phương của thông tin DNS từ các truy vấn DNS bên ngoài được gửi cho một số SSL VPN clientless và các lệnh chứng chỉ. Mỗi yêu cầu dịch DNS lần đầu tiên được tìm trong bộ đệm cục bộ. Nếu bộ nhớ cache cục bộ có thông tin, địa chỉ IP kết quả sẽ được trả về.

Nếu bộ nhớ cache cục bộ không thể giải quyết yêu cầu, một truy vấn DNS sẽ được gửi đến các máy chủ DNS khác nhau đã được cấu hình. Nếu một máy chủ DNS bên ngoài giải quyết yêu cầu, địa chỉ IP kết quả được lưu trữ trong bộ nhớ cache cục bộ với tên máy chủ tương ứng của nó.
Lệnh theo dõi bộ nhớ cache DNS

Để theo dõi bộ nhớ cache DNS, hãy nhập lệnh sau:
Hiển thị dns-hosts: Hiển thị bộ nhớ cache DNS, bao gồm các mục được học tự động từ máy chủ DNS cũng như tên và địa chỉ IP được nhập theo cách thủ công bằng cách sử dụng lệnh tên .

Trên đây là một số những hướng dẫn cấu hình cài đặt cơ bản với tường lửa Cisco.