안녕하세요.

 

Cisco ASA Remote Access VPN를 이용시 https를 이용하기 때문에 Certificate를 사용합니다. 

공인 기관에 인증되지 않은 인증서는 경고 메시지가 발생합니다.

 

이 문제를 해결 하기 위해서는 아래처럼 2가지 방법이 있습니다.

1. self-signed certificate를 접속하고자 하는 PC에 설치 합니다.

2. 인증 가능한 공인 기관에  SSL Certificate를 구매하고 도메인에 연결 합니다. 

    이미 인증된 기간에서 SSL Certificate를 구매했기 때문에 더 이상 경고 메시지가 발생 하지 않습니다.

 

이번에는 2번째 방법에 대해서 알아보겠습니다.

 

1. cisco ASA에서 key를 생성 합니다.

asa(config)# crypto key generate rsa label vpn modulus 2048
INFO: The name for the keys will be: vpn
Keypair generation process begin. Please wait...
asa(config)#

 

2. Key를 확인 하는 방법

asa# show crypto key mypubkey rsa | begin vpn
 Key name: vpn
 Usage: General Purpose Key
 Modulus Size (bits): 2048
 Storage: config
 Key Data:
 
  30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
  008a1968 524f5442 ab4b9629 4d92c38b 0dad1672 35390527 2b5d8115 c3a9c92c
  fbc0b5e8 866ce9aa 3fe91bf0 cad5e5ee 805f466c f5382fc7 2f35f40e 7fda934a
  9580028a 33ad150b 0b7f6fcb bbbfe0d8 2461ddcf 726c7ec8 ec1cec05 07576f86
  9b020301 0001

 

3. CSR를 생성 합니다.

asa(config)# crypto ca trustpoint asa_sp_saml
asa(config-ca-trustpoint)# enrollment terminal
asa(config-ca-trustpoint)# keypair vpn
asa(config-ca-trustpoint)# crl configure
asa(config-ca-crl)# crypto ca enroll asa_sp_saml


% Start certificate enrollment ..
% The subject name in the certificate will be: CN=asa.XXXX.today
 
% The fully-qualified domain name in the certificate will be: asa.XXX.today
 
% Include the device serial number in the subject name? [yes/no]: no
 
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

 

위에 CSR값을 복사 합니다. 

 

4. My Products 클릭 합니다. 

6.아래처럼 standard SSL 옆에 set up를 클릭 합니다. 

 

7. 아래 you can enter CSR코드 버튼을 클릭 합니다. 

 

8. cisco ASA에서 생성한 CSR를 생성 합니다.

아래처럼 CSR 코드를 붙여 넣으면 자동으로 코드안에 도메인이 아래처럼

ASA.XXX.today 보입니다. 

 

저희는 ASA.XXX.today 도메인에 SSL Certificate를 생성하는 작합니다. 

 

10. 작업이 완료 될때까지 기다립니다.

 

11. cPanel 선택하고 다운로드 버튼을 클릭 합니다. 

 

12. 압축 파일을 풀고 보면 아래처럼 4개 파일이 있습니다. 

 

13. install 버튼을 클릭합니다

아래사진은 깜빡하고 사진 캡처 없이 install했습니다.

 

 

14. 그리고 인증서 업로드 버튼을 클릭하고 아래 파일을 선택하고 okay버튼을 누르면 인증서가 설치 완료 됩니다. 

 

15. 인증서를 Remote Access VPN에 선택합니다.

 

 

16. Remote Access VPN를 테스트 합니다. 

 

위에처럼 Remote Access VPN를 접속 할때 certificate warming message가 사라졌습니다. 

 

Remote Access VPN 공인 IP주소를 브라우저에 입력합니다.

 

아래처럼 GUI로 접속해서 인증서 경고 메시지가 발생하지 않습니다. 

 

인증서를 상세하게 보면 아래와 같습니다.

 

asa.XXX.today는 Godaddy에 verified 되었습니다. 

 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #10] - Godaddy Domain for remote access VPN  (0) 2025.05.28
[ASA #09] - Self-Signed Certificate for Remote Access VPN  (0) 2025.04.17
[ASA #08] - SSL  (0) 2025.04.17
[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02

안녕하세요.

 

cisoc ASA remote access VPN를 사용시 공인 IP주소를 외우는것은 쉽지 않습니다. 

그래서 이번에는 Godaddy를 통해서 도메인을 구매하고 도메인에 cisco ASA outside interface 공인 IP주소를 연결해보겠습니다.

 

Godaddy에서 아래 도메인을 구매하였습니다.

xxx.today

 

테스트용이기때문에 가장 저렴한 도메인을 구매 하였습니다. 

 

아래처럼 A레코드에 ASA를 추가하고 아래처럼 공인 IP주소를 맵핑해 보겠습니다. 

FQDN asa.XXX.today
IP Address 202.X.X.196

 

1. Godaddy에 로그인 한후에 My product를 클릭 합니다. 

그리고 아래처럼 도메인에 Manage를 클릭 합니다. 

 

2. Add New Record를 클릭 합니다. 

 

3. 아래처럼 입력하고 Save 버튼을 클릭 합니다. 

 

4. 아래처럼 nslookup에서 도메인이 IP주소에 연결 되었는지 확인 되었고, 아래처럼 PING를 하면 동작 합니다. 

 

지금까지 [ASA #10] - Godaddy Domain for remote access VPN 글을 읽어주셔서 감사합니다. 

 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #11] - Godaddy SSL VPN for remote access VPN  (0) 2025.05.28
[ASA #09] - Self-Signed Certificate for Remote Access VPN  (0) 2025.04.17
[ASA #08] - SSL  (0) 2025.04.17
[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02

안녕하세요.

 

오늘은 Cisco ASA Remote Access VPN에서 사용할 인증서 Self Signed Certificate를 생성하고 이 인증서는 Remote Access VPN용으로 사용해 보겠습니다.

 

1. 시간을 설정합니다.

conf t
clock set 13:48:00 17 Apr 2025 

or

ntp server 64.235.61.113

 

2. Hostname이랑 Domain-name를 설정합니다. 

conf t
hostname asa1
domain-name kevin.rest

 

3. key 생성 - 
key name: VPN-RSA-KEY

asa1(config)# crypto key generate rsa label VPN-RSA-KEY modulus 1024
INFO: The name for the keys will be: VPN-RSA-KEY
Keypair generation process begin. Please wait...
asa1(config)# 

asa1(config)# show crypto key mypubkey rsa | begin VPN-RSA-KEY
 Key name: VPN-RSA-KEY
 Usage: General Purpose Key
 Modulus Size (bits): 1024
 Storage: config
 Key Data:

  30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00f63a7d 
  bfa01ce5 e5f2eebb 08fca4a2 225a2e68 ac1132cd 3d38ee18 095932ef 6f793164 
  4081cb1c 7c8a24f2 0e274bb7 bb6aa2c6 21c8ddc9 8ec71c91 aa2e8324 98f499ea 
  abcece44 44dd1932 7f78e3aa ef13a478 06a285f5 a6188d31 19d7ebaa 5526b86c 
  f91a4e56 85e11dbc 58b42a15 c45e9f9b 2b9d5ca8 335934ee 3d59a593 f7020301 
  0001
asa1(config)# 

 

trustpoint 설정

name: SELF_RA_VPN

asa1(config)# crypto ca trustpoint SELF_RA_VPN
asa1(config-ca-trustpoint)# enro
asa1(config-ca-trustpoint)# enrollment sel
asa1(config-ca-trustpoint)# enrollment self 
asa1(config-ca-trustpoint)# fqd
asa1(config-ca-trustpoint)# fqdn asa1.kevin.rest
asa1(config-ca-trustpoint)# sub
asa1(config-ca-trustpoint)# subject-name CN=asa1.kevin.rest
asa1(config-ca-trustpoint)# ke
asa1(config-ca-trustpoint)# keypa
asa1(config-ca-trustpoint)# keypair VPN-RSA-KEY
asa1(config-ca-trustpoint)# 

asa1(config)# crypto ca enroll SELF_RA_VPN

% The fully-qualified domain name in the certificate will be: asa1.kevin.rest

% Include the device serial number in the subject name? [yes/no]: no

Generate Self-Signed Certificate? [yes/no]: yes
asa1(config)# 

 

RA VPN 인증서 outside 설정

asa1(config)# ssl trust-point SELF_RA_VPN outside 
asa1(config)# 

 

테스트를 합니다. 


CA인증기관으로 부터 인증 받은 인증서가 아니기때문에, 아래처럼 Certificate Warning Message가 발생합니다. 

 

인증서를 PC에 설치 합니다.

 

인증서를 외부로 저장 합니다. 

 

인증서를 클릭해서 설치 합니다.

 

Install Certificate버튼을 클릭 합니다. 

 

Local Machine - Next버튼을 클릭 합니다. 

 

아래처럼 설정합니다.

인증서는 Trusted Root Certification Authorities 폴더에 저장 해야 합니다. 

 

아래처럼 인증서 에러없이 RA VPN 접속 가능 합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #11] - Godaddy SSL VPN for remote access VPN  (0) 2025.05.28
[ASA #10] - Godaddy Domain for remote access VPN  (0) 2025.05.28
[ASA #08] - SSL  (0) 2025.04.17
[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02

안녕하세요.

 

오늘은 ASA Certificate를 공부 하기 전에 SSL에 대해서 알아보겠습니다.

 

ASA Remote Access VPN를 사용 할때 Certificate이 필요합니다. 

CA를 통해서 인증되지 않는  인증서는 아래와 같이 Warning Message가 발생합니다.

 

 

CA인증기관으로부터 인증서를 인증 받으서 CISCO ASA에 등록 하면, 유저가 VPN에 접속 할때 인증서 경고 메시지가 발생지 않습니다.

 

CA인증기관은 여러기관이 있지만, 대표적으로 아래와 같습니다. 

 

[각 브랜드 별 웹사이트]

Comodo(Sectigo) - https://www.comodo.com/ (+ PositiveSSL, EssentialSSL, InstantSSL ...)
Thawte by DigiCert - https://www.thawte.com/
GeoTrust by DigiCert - https://www.geotrust.com/ (+ RapidSSL)
Verisign - https://www.verisign.com/ 
GoDaddy - https://godaddy.com/
GlobalSign - https://www.globalsign.com/ (+ AlphaSSL)
DigiCert - https://www.digicert.com/

 

용도 

 

CA(Certificate Authority) 

CA인증기관은 서버 또는 네트워크 장비등으로 부터 CSR를 받으면 CA인증기관이 CSR를 승인하여 신뢰할 수 있는 사이트인지 아닌지 구분해주는 인증서 발급해주는 기관입니다.

 

 ROOT CA 

- 무조건 신뢰할 수 있는 기관이 몇군데 존재하는데 그 CA 기관들을 최상위 인증 기관이라고 합니다. Root CA는 본인들만의 

고유한 비밀 키를 가지고 있습니다. 그리고 관련해서 동개키를 전세계에 배도합니다.

그리고 이 ROOT CA 인증서는 암묵적으로 신뢰 할수 있는 기관으로 간주 합니다.

 

키 종류

공개키 PUBLIC KEY - 공개키는 공개해도 되는 키 입니다. 이 공개키로 암호화를 수행 할 수 있습니다. (개인키 Private Key 함깨 사용)

개인키 PRIVATE KEY - 공개키로 암호화된 파일을 복호화 할때 사용하는 키가 바로 개인키 Private Key입니다. 

이 개인키 Private Key는 외부로 노출 되면 안됩니다. (공개키 PUBLIC KEY랑 함깨 사용)

대칭키 : 암호화와 복호화에 같은 키를 사용하는 방식을 대칭키 입니다

비대칭키: 암호화할 때와 복호화 할때 사용하는 키가 서로 다른갓을 비댕칭키라고 합니다.

 

Kevin의 공개키로 암호화된 데이터는 Kevin의 개인키로만 복호화 가능 합니다.

Kevin의 개인키로 암호화된 데이터는 Kevin의 공개키로만 복호화 가능 합니다. 

 

SSL 인증은 도메인 기반으로 인증 됩니다. 

kevin.rest라는 도메인이 있다고 가정합니다. SSL 인증은 이 kevin.rest라는 도메인으로 인증이 됩니다. 

IP주소가 변경 되어도 도메인주소가 같으면 상관 없습니다.

 

이번에는 도메인에 대해서 알아보겠습니다.


https://www.kevin.rest

 

https - Protocol

www - host

kevin - name

rest - TLD (Top-level Domain)

 

Root Domain - kevin.rest  의미 합니다.

Sub Domain - A레코드를 추가한 상태를 의미 합니다.

 

www.kevin.rest 

ftp.kevin.rest
mail.kevin.rest

 

위와 같이 A레코드를 추가한 도메인을 서브 도메인이라고 합니다.

 

SSL 도메인 기반으로 동작하기 떄문에 만약에 아래처럼 도메인이 있다고 가정합니다.

kevin.rest

kevin.com

 

2개에 SSL 인증서가 필요합니다. 

 

아래처럼 2개에 서브 도메인이 있다고 가정합니다.

asa.kevin.rest

pa.kevin.rest

 

2개에 SSL인증서가 필요합니다. 

 

CSR - Certificate Signing Request

SSL인증서를 신청자의 신원의 정보가 담겨져 있습니다. 아래와 정보를 이용해서 CA인증기관에 승인을 받아 인증서를 발급 받습니다. 

1. 신청자의 국가

2. 지역

3. 회사명

4. 도메인 정보

5. 공개키

 

SSL 인코딩 인증서 확장자 종류

1. DER (Distinguished Encoding Representation) 바이너리 포맷입니다.

2. PEM (Privacy Enhanced Mail) - Base 64 인코딩된 ASCII Test File입니다. 

    메모장으로 열고 수정이 가능 합니다. 

    개인키, 서버인증서, 루드 인증서, 체인 인증서 및 SSL 발급 요청시 생성하는 CSR 등등에 정보들이 포함 되어져 있습니다. 

   ----- BEGIN CERTIFICATE --------

   xxx

   ----- END CERTIFICATE -------- 

 

표시 됩니다.

 

SSL 인증서 확장자

1. csr - Certificate Signing Request의 약자이며 대부분 PEM포맷입니다.  SSL발급 신청을 위해서 본 파일 내용을 인증기관인 CA에 제풀할때 사용하는 파일 입니다. 

2. crt - 대부분 PEM포맷이며, 주로 유닉스, 리눅스 기반에 사용되는 인증서 파일 입니다. 

3. cer - 대부분 PEM포맷이며, 주로 windows 기반에서 사용되는 인증서 파일 입니다. 

 

SSL 인증서 등급 DV, OV, EV나뒵니다.

등급에 따라 암호화 기술에 차이가 있다고 생각 할 수 있지만 보안 기술은 모두 동일합니다. 

 

DV 인증서 - 도메인 소유/관리 정보를 검증하기 위한 DCV domain control Validated 인증만 진행 합니다

OV 인증서 - DCV인증뿐 아니라, 기업이 실제로 존재하는지 확인하기 위해 회사 정보가 기재되어 있는 서류와 발급 신청자의 전화 인증 절차를 거칩니다. 

EV 인증서 - 기존 OV인증서에 더해, 기업 인사 당담자와의 유선 연락을 통해 신청자의 재직 여뷰를 확인하는 인증서입니다. 

 

가격

DV -> OV -> EV

 

     

 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #10] - Godaddy Domain for remote access VPN  (0) 2025.05.28
[ASA #09] - Self-Signed Certificate for Remote Access VPN  (0) 2025.04.17
[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02

안녕하세요.

 

오늘은 Cisco ASA에서 NTP Server 설정과 NTP Zone를 설정해 보겠습니다.

 

1. 싱가폴 NTP Server List 확인 

google 에서 Singapore NTP server 검색

server 0.sg.pool.ntp.org
server 1.sg.pool.ntp.org
server 2.sg.pool.ntp.org
server 3.sg.pool.ntp.org

 

IP주소 확인

C:\Users\admin>ping 0.sg.pool.ntp.org

Pinging 0.sg.pool.ntp.org [173.234.15.82] with 32 bytes of data:
Reply from 173.234.15.82: bytes=32 time=40ms TTL=55
Reply from 173.234.15.82: bytes=32 time=38ms TTL=55
Reply from 173.234.15.82: bytes=32 time=39ms TTL=55
Reply from 173.234.15.82: bytes=32 time=40ms TTL=55

Ping statistics for 173.234.15.82:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 38ms, Maximum = 40ms, Average = 39ms

C:\Users\admin>

 

2. ASA에서 NTP Server 설정

ciscoasa(config)# ntp server 173.234.14.135 

 

3. NTP Syn 되었는지 확인

ciscoasa# show ntp associations 
      address         ref clock     st  when  poll reach  delay  offset    disp
 ~173.234.14.135   17.253.60.125     2    15    64    0     5.2  1089.4  16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

 

곧바로 동기화가 안되고 약 10분 기다립니다.

ciscoasa# show ntp associations 
      address         ref clock     st  when  poll reach  delay  offset    disp
*~173.234.14.135   17.253.60.125     2    45    64    1     3.4    0.80  15890.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

 

4. 시간 확인

ciscoasa# show clock
01:54:19.479 UTC Tue Apr 15 2025

 

5. Zone를 설정합니다.

ASA1(config)# clock timezone SGT +8

 

6. 시간 확인

ASA1# show clock
09:56:47.392 SGT Tue Apr 15 2025

 

정상적으로 싱가폴 시간이랑 동기화 되었습니다.

 

지금까지 [ASA #07] - NTP and NTP zone configuration 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #09] - Self-Signed Certificate for Remote Access VPN  (0) 2025.04.17
[ASA #08] - SSL  (0) 2025.04.17
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02

안녕하세요.

 

오늘은 cisco ASA에 Remote Access VPN User를 확인해보겠습니다.

show vpn-sessiondb anyconnect 

ASAv# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : kevin                  Index        : 62470
Assigned IP  : 192.168.200.100        Public IP    : 192.168.10.102
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 58544                  Bytes Rx     : 54607
Group Policy : ANYCONNECT_POLICY      Tunnel Group : MY_TUNNEL
Login Time   : 12:24:54 UTC Sun Feb 2 2025
Duration     : 0h:12m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a0101fe0f406000679f6416
Security Grp : none                   
ASAv# 

 

아래 명령어를 통해서 라이센스 남은 갯수도 확인 가능 합니다.

ASAv# show vpn-sessiondb license-summary 
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary                                 
---------------------------------------------------------------------------
                                     Status : Capacity : Installed :  Limit
                                  -----------------------------------------
AnyConnect Premium               :  ENABLED :      250 :         2 :   NONE
AnyConnect Essentials            : DISABLED :      250 :         0 :   NONE
Other VPN (Available by Default) :  ENABLED :      250 :       250 :   NONE
Shared License Server            : DISABLED
Shared License Participant       : DISABLED
AnyConnect for Mobile            : DISABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment     : DISABLED(Requires Premium)
AnyConnect for Cisco VPN Phone   : DISABLED
VPN-3DES-AES                     :  ENABLED
VPN-DES                          :  ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary                                                 
---------------------------------------------------------------------------
                          Local : Shared :   All  :   Peak :  Eff.  :      
                         In Use : In Use : In Use : In Use :  Limit : Usage
                       ----------------------------------------------------
AnyConnect Premium     :      1 :      0 :      1 :      2 :      2 :   50%
  AnyConnect Client    :                 :      1 :      1          :   50%
    AnyConnect Mobile  :                 :      0 :      0          :    0%
  Clientless VPN       :                 :      0 :      1          :    0%
  Generic IKEv2 Client :                 :      0 :      0          :    0%
Other VPN              :                 :      0 :      0 :    250 :    0%
  Cisco VPN Client     :                 :      0 :      0          :    0%
  L2TP Clients
  Site-to-Site VPN     :                 :      0 :      0          :    0%
---------------------------------------------------------------------------

ASAv# 

 

anyconnect Permium 라이센스가 2개 이고, 현재 PC에서 접속 해서 한개를 사용하고 있고, Usage에 50% 표시 되었습니다.

ASAv# show version 

Cisco Adaptive Security Appliance Software Version 9.8(1) 
Firepower Extensible Operating System Version 2.2(1.47)
Device Manager Version 7.22(1)

Compiled on Wed 10-May-17 15:38 PDT by builders
System image file is "boot:/asa981-smp-k8.bin"
Config file at boot was "startup-config"

ASAv up 6 hours 21 mins

Hardware:   ASAv, 2048 MB RAM, CPU Xeon E5 series 2394 MHz,
Model Id:   ASAv10
Internal ATA Compact Flash, 8192MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB


 0: Ext: Management0/0       : address is 50fd.e000.3500, irq 11
 1: Ext: GigabitEthernet0/0  : address is 50fd.e000.3501, irq 11
 2: Ext: GigabitEthernet0/1  : address is 50fd.e000.3502, irq 10
 3: Ext: GigabitEthernet0/2  : address is 50fd.e000.3503, irq 10
 4: Ext: GigabitEthernet0/3  : address is 50fd.e000.3504, irq 11
 5: Ext: GigabitEthernet0/4  : address is 50fd.e000.3505, irq 11
 6: Ext: GigabitEthernet0/5  : address is 50fd.e000.3506, irq 10
 7: Ext: GigabitEthernet0/6  : address is 50fd.e000.3507, irq 10

License mode: Smart Licensing
ASAv Platform License State: Unlicensed
No active entitlement: no feature tier and no throughput level configured
*Memory resource allocation is more than the permitted limit.

Licensed features for this platform:
Maximum VLANs                     : 50             
Inside Hosts                      : Unlimited      
Failover                          : Active/Standby 
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 0              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2              
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 250            
Total VPN Peers                   : 250   

 

지금까지 [ASA #06] - Remote Access VPN current user check 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #08] - SSL  (0) 2025.04.17
[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02

안녕하세요.

 

오늘은 cisco asa remote access VPN license를 확인하는 방법에 대해서 알아보겠습니다.

 

아래처럼 shwo version을 입력하면 아래처럼 기본적으로 2개까지 제공되며, 추가적으로 사용시 License를 구매해야 합니다. 

AnyConnect Premium Peers          : 2    

ASAv# show version 

Cisco Adaptive Security Appliance Software Version 9.8(1) 
Firepower Extensible Operating System Version 2.2(1.47)
Device Manager Version 7.22(1)

Compiled on Wed 10-May-17 15:38 PDT by builders
System image file is "boot:/asa981-smp-k8.bin"
Config file at boot was "startup-config"

ASAv up 6 hours 4 mins

Hardware:   ASAv, 2048 MB RAM, CPU Xeon E5 series 2394 MHz,
Model Id:   ASAv10
Internal ATA Compact Flash, 8192MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB


 0: Ext: Management0/0       : address is 50fd.e000.3500, irq 11
 1: Ext: GigabitEthernet0/0  : address is 50fd.e000.3501, irq 11
 2: Ext: GigabitEthernet0/1  : address is 50fd.e000.3502, irq 10
 3: Ext: GigabitEthernet0/2  : address is 50fd.e000.3503, irq 10
 4: Ext: GigabitEthernet0/3  : address is 50fd.e000.3504, irq 11
 5: Ext: GigabitEthernet0/4  : address is 50fd.e000.3505, irq 11
 6: Ext: GigabitEthernet0/5  : address is 50fd.e000.3506, irq 10
 7: Ext: GigabitEthernet0/6  : address is 50fd.e000.3507, irq 10

License mode: Smart Licensing
ASAv Platform License State: Unlicensed
No active entitlement: no feature tier and no throughput level configured
*Memory resource allocation is more than the permitted limit.

Licensed features for this platform:
Maximum VLANs                     : 50             
Inside Hosts                      : Unlimited      
Failover                          : Active/Standby 
Encryption-DES                    : Enabled        
Encryption-3DES-AES               : Enabled        
Security Contexts                 : 0              
Carrier                           : Disabled       
AnyConnect Premium Peers          : 2              
AnyConnect Essentials             : Disabled       
Other VPN Peers                   : 250            
Total VPN Peers                   : 250            
AnyConnect for Mobile             : Disabled       
AnyConnect for Cisco VPN Phone    : Disabled       
Advanced Endpoint Assessment      : Disabled       
Shared License                    : Disabled       
Total TLS Proxy Sessions          : 2              
Botnet Traffic Filter             : Enabled        
Cluster                           : Disabled       

Serial Number: 9A2U9VPUTQH

Image type          : Release
Key version         : A

Configuration last modified by enable_15 at 12:15:07.479 UTC Sun Feb 2 2025
ASAv#   

 


ASAv# show vpn-sessiondb license-summary 

ASAv는 Anyconnect Capacity는 250개 까지 가능하고 License 기본제공 2개 까지만 가능 합니다. 

 

아래 정보를 보시면 현재 라이센스 사용수, 최대치 사용수까지 확인 가능 합니다. 

ASAv# show vpn-sessiondb license-summary 
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary                                 
---------------------------------------------------------------------------
                                     Status : Capacity : Installed :  Limit
                                  -----------------------------------------
AnyConnect Premium               :  ENABLED :      250 :         2 :   NONE
AnyConnect Essentials            : DISABLED :      250 :         0 :   NONE
Other VPN (Available by Default) :  ENABLED :      250 :       250 :   NONE
Shared License Server            : DISABLED
Shared License Participant       : DISABLED
AnyConnect for Mobile            : DISABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment     : DISABLED(Requires Premium)
AnyConnect for Cisco VPN Phone   : DISABLED
VPN-3DES-AES                     :  ENABLED
VPN-DES                          :  ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary                                                 
---------------------------------------------------------------------------
                          Local : Shared :   All  :   Peak :  Eff.  :      
                         In Use : In Use : In Use : In Use :  Limit : Usage
                       ----------------------------------------------------
AnyConnect Premium     :      0 :      0 :      0 :      2 :      2 :    0%
  AnyConnect Client    :                 :      0 :      1          :    0%
    AnyConnect Mobile  :                 :      0 :      0          :    0%
  Clientless VPN       :                 :      0 :      1          :    0%
  Generic IKEv2 Client :                 :      0 :      0          :    0%
Other VPN              :                 :      0 :      0 :    250 :    0%
  Cisco VPN Client     :                 :      0 :      0          :    0%
  L2TP Clients
  Site-to-Site VPN     :                 :      0 :      0          :    0%
---------------------------------------------------------------------------

ASAv# 

 

ASAv# show vpn-sessiondb 
---------------------------------------------------------------------------
VPN Session Summary
---------------------------------------------------------------------------
                               Active : Cumulative : Peak Concur : Inactive
                             ----------------------------------------------
AnyConnect Client            :      0 :         17 :           1 :        0
  SSL/TLS/DTLS               :      0 :         17 :           1 :        0
Clientless VPN               :      0 :          2 :           1
  Browser                    :      0 :          2 :           1
---------------------------------------------------------------------------
Total Active and Inactive    :      0             Total Cumulative :     19
Device Total VPN Capacity    :    250
Device Load                  :     0%
---------------------------------------------------------------------------

---------------------------------------------------------------------------
Tunnels Summary
---------------------------------------------------------------------------
                               Active : Cumulative : Peak Concurrent   
                             ----------------------------------------------
Clientless                   :      0 :          2 :               1
AnyConnect-Parent            :      0 :         17 :               1
SSL-Tunnel                   :      0 :         17 :               1
DTLS-Tunnel                  :      0 :          5 :               1
---------------------------------------------------------------------------
Totals                       :      0 :         41
---------------------------------------------------------------------------

ASAv#  

 

하드웨어적으로 최대 지원되는 Anyconnect 유저수

 

지금까지 [ASA #05] - Remote Access VPN License 글을 읽어주셔서 감사합니다.

 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #07] - NTP and NTP zone configuration  (0) 2025.04.15
[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02

안녕하세요.

 

오늘은 Cisco ASA Remote Acess VPN에 대해서 알아보겠습니다.

CLI 기준입니다.

 

1.  Secure Client를 다운로드 받습니다. pkg 확장자입니다. 

 

https://software.cisco.com/download/home/286330811/type/282364313/release/5.1.7.80

 

 

2. 다운로드 파일을 TFTP 폴더에 복사 합니다.

 

3. 이 파일을 cisco ASA에 업로드 합니다. 

ASAv# copy tftp flash                     

Address or name of remote host []? 192.168.10.102

Source filename []? cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

Destination filename [cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg]? 

Accessing tftp://192.168.10.102/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg...!!!

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin
85     -rwx  154655608    08:11:13 Feb 02 2025  cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

8571076608 bytes total (8190124032 bytes free)

ASAv# 

 

 

4. Cisco Remote Access VPN 설정값입니다. 


4-1 Secure Client를 통해서 User가 ASA VPN에 연결 되면 IP주소는 192.168.200.100~ 192.168.200.200 사이에 IP주소를 할당 받습니다.

4-2 SPLIT_TUNNEL 10.1.1.0/24 대역 통신 할때는 VPN에 접속 합니다. 

4-3 SSL_USER 계정은 VPN용으로만 사용 가능 합니다. 

 

아래 처럼 그냥 COPY and PASTE하면 cisco ASA Remote Access VPN이 동작 합니다. 

webvpn
anyconnect image flash:/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg
enable outside
anyconnect enable
http redirect OUTSIDE 80
ip local pool VPN_POOL 192.168.200.100-192.168.200.200 mask 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.1.1.0 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.10.10.0 255.255.255.0

group-policy ANYCONNECT_POLICY internal
group-policy ANYCONNECT_POLICY attributes
vpn-tunnel-protocol ssl-client ssl-clientless 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL
dns-server value 8.8.8.8
webvpn
anyconnect keep-installer installed
anyconnect ask none default anyconnect
anyconnect dpd-interval client 30
exit

tunnel-group MY_TUNNEL type remote-access 
tunnel-group MY_TUNNEL general-attributes 
default-group-policy ANYCONNECT_POLICY
address-pool VPN_POOL
exit

tunnel-group MY_TUNNEL webvpn-attributes 
group-alias SSL_USERS enable

webvpn
tunnel-group-list enable 

username SSL_USER password XXXXXXX

username SSL_USER attributes
service-type remote-access 

 

5. https://192.168.10.78 접속 합니다

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# show int
ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

 

 

 

6. Download가 완료되면 설치 합니다. 설치 과정은 생략 하겠습니다. 

 

7. 설치가 완료되면  Cisco Secure Client를 실행해서 접속 합니다.

 

 

Connect Anyway를 클릭 합니다. 

 

만약에 아래처럼 실행 오류가 나면 아래처럼 추가적으로 설정이 필요합니다. 

 

ASDM 에 접속해서 아래처럼 접속합니다.

Remote-Access VPN -> Network Client Access -> Secure Client Profile -> Add

 

 

 

아래처럼 LocalUserOnly -> AllowRemoteUser로 수정 합니다.

 

다시 접속을 시도 합니다.

 

정상적으로 접속 되었습니다. 

 

Remote Access User가 VPN통해서 내부에 있는 자원에 통신 할려고 방화벽 정책이 필요 합니다. 

 

G0/0 outside - ACL name - outsideacl

G0/1 inside - ACL name - insideacl

G0/2 DMZ - ACL name -dmzacl

ASAv# show interface ip  brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         10.10.10.254    YES manual up                    up  
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 


SW 설정

interface GigabitEthernet0/1
 no switchport
 ip address 10.10.10.10 255.255.255.0
 negotiation auto
ip route 0.0.0.0 0.0.0.0 10.10.10.254

 

방화벽 정책 설정

ASAv(config)# access-list outsideacl extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0
ASAv(config)# access-group outsideacl in interface outside

 

Secure Client 접속후 Ping 10.10.10.10 하면 아래처럼 성공 합니다. 

 

ASAv# show access-list 
access-list cached ACL log flows: total 1, denied 1 (deny-flow-max 4096)
            alert-interval 300
access-list SPLIT_TUNNEL; 2 elements; name hash: 0x63aa8f22
access-list SPLIT_TUNNEL line 1 standard permit 10.1.1.0 255.255.255.0 (hitcnt=0) 0x96d75e6a 
access-list SPLIT_TUNNEL line 2 standard permit 10.10.10.0 255.255.255.0 (hitcnt=0) 0x23138585 
access-list outsideacl; 1 elements; name hash: 0x945119d1
access-list outsideacl line 1 extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0 (hitcnt=1) 0xb46d0730 
ASAv# 

 

만약에 Remote Access VPN USER들은 outbound access-list 없이 그냥 BYpass하고 싶으면 아래 명령어를 입력합니다.

ASA1(config)# sysopt connection permit-vpn

 

지금까지 [ASA #04] - Remote Access VPN 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.

 

오늘은 ASA에 ASDM file를 업로드 하고 PC에 ASDM 프로그램을 설치해보겠습니다.

 

1. 현재 asa에서 version를 확인 합니다.

ASAv# show version 

Cisco Adaptive Security Appliance Software Version 9.8(1) 
Firepower Extensible Operating System Version 2.2(1.47)
Device Manager Version 7.8(1)

Compiled on Wed 10-May-17 15:38 PDT by builders
System image file is "boot:/asa981-smp-k8.bin"
Config file at boot was "startup-config"

ASAv up 53 mins 52 secs

Hardware:   ASAv, 2048 MB RAM, CPU Xeon E5 series 2394 MHz,
Model Id:   ASAv10
Internal ATA Compact Flash, 8192MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB

 

9.8 버전을 사용중에 있습니다.

 

2. ASDM 사용하기 위해서는 ASA에 ASDM file이 Flash메모리에 저장되어야 합니다.

 

3. TFTP 설치 합니다. 이전 글에서 설치 하였습니다. 이번글에서는 설치 과정은 생략 합니다.

https://itblog-kr.tistory.com/185

 

[ASA #02] - TFTP Install

안녕하세요.  ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다.  TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다. 이번에는 TFTP 설치에 대해서 알아보겠습니

itblog-kr.tistory.com

 

4. C드라이브에 TFTP폴더를 만들고 ASDM 파일을 복사합니다.

5. TFTP를 실행합니다. 

그리고 폴더 위치랑 IP주소를 수정 합니다. 

 

6. 아래처럼 tftp서버 IP랑 asdm 파일 이름을 입력해서 asdm를 cisco asa 업로드 합니다. 

ASAv# copy tftp: flash:              

Address or name of remote host []? 192.168.10.102

Source filename []? asdm-openjre-7221.bin

Destination filename [asdm-openjre-7221.bin]? 

Accessing tftp://192.168.10.102/asdm-openjre-7221.bin...!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-openjre-7221.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-openjre-7221.bin...

204561552 bytes copied in 628.840 secs (325734 bytes/sec)
ASAv# 

 

 

7. dir flash:를 통해서 asdm 이미지 파일을 확인 합니다.

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin

 

8. ASDM를 사용하기 위해서 아래처럼 설정 합니다.

ASAv# conf t
ASAv(config)# asdm image disk0:/asdm-openjre-7221.bin
ASAv(config)# http server enable 
ASAv(config)# http 0.0.0.0 0.0.0.0 inside
ASAv(config)# username kevin password XXXXXXX privilege 15
ASAv(config)# 

 

9. inside interface는 Gi0/1이고 IP주소는 10.1.1.254입니다. 

ASAv# show int ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# 

 

아래처럼 접속을 시도 합니다. 그리고 Install ASDM Launcher를 클릭 합니다. 

 

로그인을 합니다. 

 

로그인이 성공하면 아래처럼 파일이 다운로드 됩니다.

 

10. 실행해서 설치 합니다. Next를 클릭 합니다. 

 

11. Next를 클릭 합니다.

 

12. Install클릭 합니다.

 

설치가 진행 됩니다.

 

 

13. ASDM이 설치가 완료 되었습니다. 바탕화면에 ASDM 아이콘이 생성 되었습니다.

 

14. 실행 했을때 아래처럼 에러 메시지가 발생하면 추가적으로 수정이 필요합니다.

 

경로값이를 아래처럼 수정 합니다.

C:\Windows\System32\wscript.exe invisible.vbs run.bat

 

접속을 시도 합니다. 

 

100% 완료 될때까지 기다립니다. 

 

접속이 완료 되었습니다. 

 

 

지금까지 [ASA #03] - ASDM Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요. 

 

ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다. 

 

TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다.

 

이번에는 TFTP 설치에 대해서 알아보겠습니다.

가장 많이 쓰는 Free TFTP 프로그램은 

 

 

 

아래 링크를 통해서 다운로드 받습니다. 

https://pjo2.github.io/tftpd64/

 

TFTPD64 : an opensource IPv6 ready TFTP server/service for windows : TFTP server

Tftpd64 The industry standardTFTP server Tftpd64 is a free, lightweight, opensource IPv6 ready application which includes DHCP, TFTP, DNS, SNTP and Syslog servers as well as a TFTP client. The TFTP client and server are fully compatible with TFTP option su

pjo2.github.io

 

2. Download Page를 클릭 합니다. 

3. TFTPD64-4.64-setup.exe 파일을 클릭 합니다. 

 

4. 파일을 클릭 해서 실행 합니다. 

 

5. I agree를 클릭 합니다. 

 

6. Next버튼을 클릭 합니다.  

 

7. Install 버튼을 클릭 합니다.

 

8. Close버튼을 클릭 합니다. 

 

지금까지 [ASA #02] - TFTP Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.


이번에 고객사에서 사용중인 ASA Firewall를 FTD로 Migration를 해야하는데 CISCO ASA 방화벽을 너무 오랜간만에 다시 다루게 되어서 ASA Anyconnect - Remote Access VPN에 대해서 공부해 보겠습니다.

 

EVE-NG에서 아래처럼 구성도를 만들었습니다.

 

EVE-NG ASA 설치 과정은 아래 글을 확인 부탁드립니다.

https://itblog-kr.tistory.com/19#google_vignette

 

[2024][EVE-NG #9] ASAv 방화벽 설치하기

안녕하세요.  오늘은 [2024][EVE-NG #9] ASAv 방화벽 설치하기입니다.  1. 공식적인 사이트 링크는 아래와 같습니다. https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-asav/ Cisco ASAv -Versions this gui

itblog-kr.tistory.com

 

 

1. EVE-NG에서 토폴로지를 아래와 같이 만듭니다.

2. 기본설정을 합니다.

E0/0 - zone - outside - ip 192.168.10.77/24

E0/1 - zone - inside - ip 10.1.1.1/24

 

GW: 192.168.10.253 

 

ciscoasa# conf t
ciscoasa#  hostname asa
ASA#
ASA(config)# int e0
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ip add 192.168.10.77 255.255.255.0
ASA(config-if)# no sh
ASA(config)# int e1 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 10.1.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# 

ASA(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.253
ASA(config)# 

 

Nameif 확인

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
ASAv# 

 

Interface 확인

ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              unassigned      YES unset  administratively down up  
ASAv# 

 

Default Gateway 확인

ASAv# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 192.168.10.253, outside
C        10.1.1.0 255.255.255.0 is directly connected, inside
L        10.1.1.254 255.255.255.255 is directly connected, inside
C        192.168.10.0 255.255.255.0 is directly connected, outside
L        192.168.10.78 255.255.255.255 is directly connected, outside

 

2. PC에서 Ping 192.168.10.77 

 

지금 까지 [ASA #01] - Basic Config 대해서 알아보았습니다. 

 

다음글은 ASDM를 설치해서  cisco ASA 접속해보겠습니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02

+ Recent posts

티스토리툴바