Module de services ASA Cisco Catalyst 6500
Table des matières
Module de services ASA Cisco Catalyst 6500
Informations relatives au Module de services ASA dans le réseau de commutation
Vérification de l'installation des modules
Attribution de VLAN au Module de services ASA
Utilisation de la carte MSFC en tant que routeur avec connexion directe
Connexion au Module de services ASA
Déconnexion du Module de services ASA
Configuration de la connectivité ASDM
Exécution de l'assistant de démarrage dans ASDM
(Facultatif) Autres assistants de l'ASDM
Obtenir de la documentation et envoyer une demande de service
Guide de démarrage rapide
Module de services ASA Cisco Catalyst 6500
Remarque
Pour consulter les documents en français (y compris les nouveautés), identifiez-vous : http://www.cisco.com/cisco/web/CA/fr/support/index.html
Documentation associée
Pour accéder à tous les documents liés à ce produit, accédez à la page suivante :
1 Informations relatives au Module de services ASA dans le réseau de commutation
Vous pouvez installer le Module de services ASA (ASASM) dans les commutateurs de la gamme Catalyst 6500-E. Le commutateur exécute le logiciel Cisco IOS à la fois sur le moteur de supervision du commutateur et sur la carte MSFC (Multilayer Switch Feature Card) intégrée. ASASM exécute son propre système d'exploitation.
Bien que la carte MSFC doive faire partie de votre système, vous n'avez pas besoin de l'utiliser. Si vous choisissez de l'utiliser, vous pouvez attribuer une ou plusieurs interfaces VLAN à la carte MSFC (appelées interfaces virtuelles de commutateur ou SVI). Vous pouvez également utiliser un routeur externe à la place de la carte MSFC.
En mode de contexte unique, vous pouvez placer la carte MSFC ou le routeur devant ASASM ou derrière ASASM ; le positionnement dépend des VLAN que vous attribuez aux interfaces ASASM (voir Figure 1).
Figure 1 Positionnement de la carte MSFC/du routeur
En mode de contextes multiples, si vous placez la carte MSFC ou le routeur derrière ASASM, vous ne devez la ou le connecter qu'à un seul contexte. Si vous la/le connectez à plusieurs contextes, la carte MSFC/le routeur effectue l'acheminement entre les contextes, ce qui n'est peut-être pas votre intention. Le scénario classique pour les contextes multiples consiste à utiliser un routeur devant tous les contextes pour effectuer l'acheminement entre Internet et les réseaux de commutation (voir Figure 2).
Figure 2 Positionnement de la carte MSFC/du routeur avec plusieurs contextes
2 Vérification de l'installation des modules
Vérifiez que le commutateur reconnaît ASASM et l'a mis en ligne. (Si vous devez installer ASASM, reportez-vous au Notes d'installation du module de services de la gamme Cisco Catalyst ASA 6500.) Saisissez la commande suivante pour vérifier que la colonne Status affiche « Ok » pour ASASM :
show module [switch {1 |2}] [num-mod | all]Pour un commutateur dans un système VSS, saisissez l'argument switch.
Par exemple :
Router# show moduleMod Ports Card Type Model Serial No.--- ----- -------------------------------------- ------------------ -----------2 3 ASA Service Module WS-SVC-ASA-SM1 SAD143502E8Mod MAC addresses Hw Fw Sw Status--- ---------------------------------- ------ ------------ ------------ -------2 0022.bdd4.016f to 0022.bdd4.017e 0.201 12.2(2010080 12.2(2010121 Ok...3 Attribution de VLAN au Module de services ASA
ASASM ne comprend pas d'interfaces physiques externes. À la place, il utilise des interfaces VLAN transmises par le superviseur. Procédez comme suit à l'interface de ligne de commande du commutateur pour transmettre les VLAN provenant du superviseur :
Étape 1
firewall vlan-group num_groupe_parefeu plage_vlan
Exemple :Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 58-63
Router(config)# firewall vlan-group 52 64,66-74
Attribue des VLAN à un groupe de pare-feu.
Étape 2
firewall [switch {1 |2}] module numéro_module vlan-group num_groupe_parefeu
Exemple :Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52
Attribue les groupes de pare-feu à ASASM. Pour un commutateur dans un système VSS, saisissez l'argument switch.
4 Utilisation de la carte MSFC en tant que routeur avec connexion directe
Si vous voulez utiliser la carte MSFC en tant que routeur avec connexion directe (par exemple, en tant que passerelle par défaut connectée à l'interface externe ASASM), ajoutez une interface VLAN ASASM à la carte MSFC en tant qu'interface virtuelle de commutateur (SVI). Par défaut, vous ne pouvez ajouter qu'une seule SVI. Pour en ajouter plusieurs et prendre connaissance des mises en garde relatives à cette opération, reportez-vous au Guide de configuration du module de services de la gamme Cisco Catalyst ASA 6500 à l'aide d'ASDM. Procédez comme suit à l'interface de ligne de commande du commutateur :
Étape 1
interface vlan numéro_vlan
Exemple :Router(config)# interface vlan 100
Ajoute une interface VLAN à la carte MSFC.
Étape 2
ip address adresse masque
Exemple :Router(config)# ip address 192.168.1.2 255.255.255.0
Définit l'adresse IP de cette interface sur la carte MSFC.
Étape 3
no shutdown
Exemple :Router(config)# no shutdown
Active l'interface.
5 Connexion au Module de services ASA
À l'interface de ligne de commande du commutateur, vous pouvez ouvrir une session Telnet sur le fond de panier pour accéder à l'interface de ligne de commande ASASM :
Déconnexion du Module de services ASA
Étape 1
Ctrl-Maj-6, x
L'invite du commutateur s'affiche à nouveau.
Remarque : sur les claviers anglais États-Unis et Royaume-Uni, la combinaison de touches Maj-6 produit le caractère caret (^). Si vous disposez d'un autre clavier et que vous ne pouvez pas taper le caractère caret (^) comme caractère autonome, vous pouvez temporairement changer le caractère d'échappement. Utilisez la commande terminal escape-character numéro_ascii. Par exemple, pour remplacer la séquence de la session active par Ctrl-w, x, saisissez terminal escape-character 23.
Étape 2
Étape 3
disconnectRemarque : la session ASASM expire par défaut après 5 minutes.
6 Configuration de la connectivité ASDM
Étant donné qu'ASASM ne dispose pas d'interfaces physiques, il n'est pas préconfiguré pour l'accès à ASDM ; vous devez configurer l'accès à ASDM à l'aide de l'interface de ligne de commande ASASM.
Étape 1
(facultatif)
firewall transparent
Exemple :Nom d'hôte(config)# firewall transparent
Active le mode de pare-feu transparent. Cette commande efface la configuration. Pour obtenir plus d'informations, reportez-vous au Guide de configuration du module de services de la gamme Cisco Catalyst ASA 6500 à l'aide d'ASDM.
Étape 2
Procédez de l'une des façons suivantes pour configurer une interface de gestion, en fonction du mode d'utilisation :
Mode de routage :
interface vlan numéro
ip address adresse_ip [masque]
nameif nom
security-level niveau
Exemple :Nom d'hôte(config)# interface vlan 1
Nom d'hôte(config-if)# ip address 192.168.1.1 255.255.255.0
Nom d'hôte(config-if)# nameif inside
Nom d'hôte(config-if)# security-level 100
Configure une interface en mode de routage. Le paramètre security_level est un nombre compris entre 1 et 100, où 100 est le plus sécurisé.
Mode transparent :
interface bvi numéro
ip address adresse_ip [masque]
interface vlan numéro
bridge-group numéro_bvi
nameif nom
security-level niveau
Exemple :Nom d'hôte(config)# interface bvi 1
Nom d'hôte(config-if)# ip address 192.168.1.1 255.255.255.0
Nom d'hôte(config)# interface vlan 1
Nom d'hôte(config-if)# bridge-group 1
Nom d'hôte(config-if)# nameif inside
Nom d'hôte(config-if)# security-level 100
Configure une interface de point virtuelle (BVI) et attribue un VLAN de gestion au groupe de pontage. Le paramètre security_level est un nombre compris entre 1 et 100, où 100 est le plus sécurisé.
Étape 3
dhcpd address adresse_ip-adresse_ip
nom_interface
dhcpd enable nom_interface
Exemple :Nom d'hôte(config)# dhcpd address 192.168.1.2-192.168.1.254 inside
Nom d'hôte(config)# dhcpd enable inside
Active le protocole DHCP pour l'hôte de gestion sur le réseau de l'interface de gestion. Prenez soin de ne pas inclure l'adresse de gestion dans la plage d'adresses.
Étape 4
http server enable
Exemple :Nom d'hôte(config)# http server enable
Active le serveur HTTP pour l'ASDM.
Étape 5
http adresse_ip masque nom_interface
Exemple :Nom d'hôte(config)# http 192.168.1.0 255.255.255.0 management
Autorise l'hôte de gestion à accéder à l'ASDM.
Étape 6
write memory
Exemple :Nom d'hôte(config)# write memory
Enregistre la configuration.
Étape 7
(facultatif)
mode multipleExemple :Nom d'hôte(config)# mode multipleDéfinit le mode sur le mode multiple. Lorsque vous y êtes invité, confirmez que vous souhaitez convertir la configuration existante en contexte d'administration. Vous êtes ensuite invité à recharger ASASM. Pour obtenir plus d'informations, reportez-vous au Guide de configuration du module de services de la gamme Cisco Catalyst ASA 6500 à l'aide d'ASDM.
7 Lancement de l'ASDM
Étape 1
Étape 2
https://adresse_ip_gestion/admin
Étape 3
Vous pouvez également télécharger le lanceur d'application ASDM-IDM (Windows uniquement). Pour obtenir plus d'informations, reportez-vous au Guide de configuration du module de services de la gamme Cisco Catalyst ASA 6500 à l'aide d'ASDM.
Étape 4
Étape 5
La fenêtre principale de l'ASDM apparaît et l'assistant de démarrage s'ouvre.
8 Exécution de l'assistant de démarrage dans ASDM
Exécutez Startup Wizard (Assistant de démarrage) pour configurer les paramètres de base. Si l'assistant de démarrage ne s'exécute pas déjà, dans la fenêtre principale de l'ASDM, sélectionnez Wizards > Startup Wizard (Assistants > Assistant de démarrage).
Suivez les instructions de l'assistant de démarrage.
9 (Facultatif) Autres assistants de l'ASDM
Outre l'assistant de démarrage, vous pouvez exécuter les assistants suivants dans l'ASDM pour configurer des fonctionnalités supplémentaires :
•
Permet de configurer le basculement actif/actif ou actif/veille.
•
Permet de configurer et d'exécuter la capture. L'assistant exécute une capture de chaque interface d'entrée et de sortie. Après avoir capturé les paquets, vous pouvez enregistrer les captures sur votre PC pour analyse et relecteur dans l'analyseur de paquets.
Obtenir de la documentation et envoyer une demande de service
Pour obtenir plus d'informations sur la façon d'obtenir de la documentation, sur l'envoi d'une demande de service et sur la collecte de renseignements supplémentaires, consultez le bulletin mensuel What’s New in Cisco Product Documentation, qui présente par ailleurs toute la documentation récente et révisée disponible sur les produits Cisco, à l'adresse suivante :
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
Abonnez-vous au flux RSS What's New in Cisco Product Documentation et programmez l'envoi direct de contenus vers votre bureau, à l'aide d'une application de type lecteur. Les flux RSS sont un service gratuit. Cisco prend actuellement en charge la syndication RSS version 2.0.
Cisco et le logo Cisco sont des marques commerciales ou des marques déposées de Cisco Systems, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Pour afficher la liste des marques commerciales Cisco, rendez-vous à l'adresse : www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées sont la propriété de leurs détenteurs respectifs. L'utilisation du mot « partenaire » n'implique aucune relation de partenariat entre Cisco et toute autre société. (1110R)
Copyright © 2012 Cisco Systems, Inc. Tous droits réservés.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)