ASA 8.3 e posterior: Exemplo de Configuração de Acesso ao Servidor de Correio (SMTP - Mail Server Access on Inside Network Configuration Example)
Introduction
Esta configuração de exemplo demonstra como configurar o ASA Security Appliance para acesso a um servidor de e-mail (SMTP) situado na rede interna.
Consulte o ASA 8.3 e posterior: Exemplo de Acesso ao Servidor de Correio (SMTP) no DMZ Configuration Example para obter mais informações sobre como configurar o ASA Security Appliance para acesso a um servidor de email/SMTP localizado na rede DMZ.
Consulte o ASA 8.3 e posterior: Exemplo de Acesso ao Servidor de Email (SMTP) em Rede Externa para configurar o ASA Security Appliance para acesso a um servidor de email/SMTP localizado na Rede Externa.
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Cisco Adaptive Security Appliance (ASA) que executa a versão 8.3 e posterior.
-
Roteador Cisco 1841 com Cisco IOS® Software Release 12.4(20)T
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede:
Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918 que foram usados em um ambiente de laboratório.
A configuração de rede usada neste exemplo tem o ASA com rede interna (192.168.1.0/24) e a rede externa (209.164.3.0/30). O servidor de e-mail com endereço IP 209.64.3.5 está localizado na rede interna.
Configurações
Este documento utiliza as seguintes configurações:
| ASA |
|---|
ASA#show run : Saved : ASA Version 8.3(1) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! interface Ethernet2 shutdown no nameif no security-level no ip address ! !--- Define the IP address for the inside interface. interface Ethernet3 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! !--- Define the IP address for the outside interface. interface Ethernet4 nameif outside security-level 0 ip address 209.164.3.1 255.255.255.252 ! interface Ethernet5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !--- Create an access list that permits Simple !--- Mail Transfer Protocol (SMTP) traffic from anywhere !--- to the host at 209.164.3.5 (our server). The name of this list is !--- smtp. Add additional lines to this access list as required. !--- Note: There is one and only one access list allowed per !--- interface per direction, for example, inbound on the outside interface. !--- Because of limitation, any additional lines that need placement in !--- the access list need to be specified here. If the server !--- in question is not SMTP, replace the occurrences of SMTP with !--- www, DNS, POP3, or whatever else is required. access-list smtp extended permit tcp any host 209.164.3.5 eq smtp pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 !--- Specify that any traffic that originates inside from the !--- 192.168.2.x network NATs (PAT) to 209.164.3.129 if !--- such traffic passes through the outside interface. object network obj-192.168.2.0 subnet 192.168.2.0 255.255.255.0 nat (inside,outside) dynamic 209.164.3.129 !--- Define a static translation between 192.168.2.57 on the inside and !--- 209.164.3.5 on the outside. These are the addresses to be used by !--- the server located inside the ASA. object network obj-192.168.2.57 host 192.168.2.57 nat (inside,outside) static 209.164.3.5 !--- Apply the access list named smtp inbound on the outside interface. access-group smtp in interface outside !--- Instruct the ASA to hand any traffic destined for 192.168.x.x !--- to the router at 192.168.1.2. route inside 192.168.0.0 255.255.0.0 192.168.1.2 1 !--- Set the default route to 209.164.3.2. !--- The ASA assumes that this address is a router address. route outside 0.0.0.0 0.0.0.0 209.164.3.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! !--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map. policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! !--- SMTP/ESMTP is inspected as "inspect esmtp" is included in the map. service-policy global_policy global Cryptochecksum:f96eaf0268573bd1af005e1db9391284 : end |
| Router B |
|---|
Current configuration: ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 2522-R5 ! enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV. ! ip subnet-zero ! ! ! ! ! interface Ethernet0 !--- Sets the IP address of the Ethernet interface to 209.164.3.2. ip address 209.164.3.2 255.255.255.252 ! interface Serial0 !--- Instructs the serial interface to use !--- the address of the Ethernet interface when the need arises. ip unnumbered ethernet 0 ! interface Serial1 no ip address no ip directed-broadcast ! ip classless !--- Instructs the router to send all traffic !--- destined for 209.164.3.x to 209.164.3.1. ip route 209.164.3.0 255.255.255.0 209.164.3.1 !--- Instructs the router to send !--- all other remote traffic out serial 0. ip route 0.0.0.0 0.0.0.0 serial 0 ! ! line con 0 transport input none line aux 0 autoselect during-login line vty 0 4 exec-timeout 5 0 password ww login ! end |
Observação: a configuração do Roteador A não foi adicionada. Você só precisa fornecer os endereços IP nas interfaces e definir o gateway padrão como 192.168.1.1, que é a interface interna do ASA .
Configuração de TLS ESMTP
Observação: se você usar a criptografia TLS (Transport Layer Security) para comunicação por e-mail, o recurso de inspeção ESMTP (ativado por padrão) no ASA descarta os pacotes. Para permitir os e-mails com TLS ativado, desative o recurso de inspeção ESMTP como mostrado nesta saída. Consulte o bug da Cisco ID CSCtn08326 para obter mais informações.
ciscoasa(config)# policy-map global_policy ciscoasa(config-pmap)#class inspection_default ciscoasa(config-pmap-c)#no inspect esmtp ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit
Observação: no ASA versão 8.0.3 e posterior, o comando allow-tls está disponível para permitir o e-mail TLS com inspect esmtp habilitado, conforme mostrado:
policy-map type inspect esmtp tls-esmtp parameters allow-tls inspect esmtp tls-esmtp
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshoot
O comando logging buffered 7 direciona mensagens para o console ASA. Se a conectividade com o servidor de e-mail for um problema, examine as mensagens de depuração do console para localizar os endereços IP das estações de envio e de recebimento para determinar o problema.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
25-Nov-2019 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)