Bien entendu, l’ASA permet de réaliser du routage. Les concepts ne changent pas par rapport à un routeur classique. La configuration à l’aide de l’ASDM est aisée pour quelqu’un qui maitrise le routage sur un routeur Cisco.
Nous verrons ici comment configurer du routage statique et dynamique.
Le VPN Clientless de l’ASA propose de se connecter à distance à une interface WEB permettant d’accéder à des ressources internes.
Simplement à l’aide d’un navigateur WEB, il est possible d’exploiter un certain nombre de ressources.
Voici comment mettre en place un VPN Clientless basique.
Dans cet article nous verrons comment configurer un VPN Remote Access IPsec, permettant à des clients de se connecter à distance au réseau local de l’ASA. Contrairement à l’AnyConnect qui repose sur SSL, celui-ci utilise l’IPsec, comme son nom l’indique. La solution possède des avantages et des inconvénients. La raison principale du choix d’un VPN Remote Access plutôt qu’un AnyConnect est le coût des licences.
Voyons comment mettre en place cette solution.
Dans cet article nous verrons comment configurer un VPN AnyConnect, permettant à des clients de se connecter à distance au réseau local de l’ASA. Le VPN AnyConnect est la solution la plus mise en avant par Cisco en ce moment. Elle a l’avantage d’être simple est légère pour le client. En revanche, les licences sont couteuses. Nous ne débâterons pas ici sur ses avantages et inconvénients. Voyons tout de suite la configuration.
La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est possible de réaliser des VPN site à site, mais aussi des VPN pour un accès distant. Dans cet article nous verrons comment configurer un VPN site à site entre deux ASA.
Etant donné la quantité de paramètre pour la mise en place d’un VPN, la configuration n’est pas toujours aisée. Heureusement, l’ASA propose un Wizard facilitant grandement le paramétrage.
L’ASA permet de recourir à un serveur d’authentification plutôt qu’à une base d’utilisateurs locale. Ainsi il est par exemple possible d’utiliser un serveur RADIUS, TACACS+, LDAP, etc… pour authentifier les utilisateurs qui se connectent en SSH, via l’ASDM, en VPN, etc…
Dans cet article nous verrons comment mettre en place une authentification LDAP et RADIUS et comment l’utiliser lors des connections SSH et ASDM. Bien entendu, cette configuration pourra servir pour d’autres utilisations (VPN notamment).
La fonctionnalité Failover permet de coupler deux ASA pour des questions de redondance. En mode Active / Standby, l’un est Active et prend en charge le trafic, alors que l’autre est en Standby au cas où le premier tombe.
Le Standby ne prend pas de trafic en charge. Il possède une configuration identique à celle de l’ASA Active (la configuration est automatiquement répliquée).
De plus, les états des connexions en cours sont répliqués sur le deuxième ASA. De cette manière, si l’Active tombe, le Standby peut prendre le relais sans interrompre les connexions ouvertes. Bien entendu, le Standby reprend l’adresse IP de l’Active.
Il est aussi possible de monitorer une interface. Si cette dernière tombe sur l’ASA Active, le Standby peut prendre le relais.
Les Access Rules sont les règles permettant d’autoriser ou non certains trafics à traverser l’ASA. Les Access Rules reposent sur des ACL. La maitrise des ACL permet donc de mettre en place facilement des Access Rules.
Au travers de cet article nous verrons comment configurer de manière avancée les interfaces de l’ASA. Nous aborderons la configuration des sous interfaces, l’agrégation de lien et les interfaces redondantes.
Le NAT est l’un des points clés de la configuration d’un ASA Cisco. Sa configuration n’est pas particulièrement difficile, du moment que la théorie du NAT est bien maitrisée. Nous verrons notamment comment mettre en place du Dynamic PAT (utile pour l’accès internet), du Static NAT (utile pour rendre des serveurs accessibles depuis internet), ou encore du Dynamic NAT.