Configuração Cisco ASA 5520 em dois SITES, A e B

Eu sou um administrador de networking em uma empresa. Então, minha empresa possui dois sites, A e B, e estamos usando a internet do nosso ISP de 4 MB via fibra óptica.

Meu IP é; 10.1.5.x com uma máscaira de sub-networking os 255.255.252.0

Estou usando uma série Cisco Router 2800 paira o perímetro de connection com a internet e, logo antes da minha lan, recebi um Cisco ASA 5520, este está no Site A … Todos esses equipamentos estão corretamente configurados e funcionando corretamente, pois foram configurados da empresa onde compramos as máquinas.

Mas, como obtivemos dois Sites, compramos também dois outros roteadores Cisco 2800 series e um Cisco ASA 5520, que eu tenho que configurá-lo no SITE B.

OBS; Eu recebi aprox. 150 PC no site A e cerca de 100 no site B, todos conectados ao meu lan e internet e em um domínio dedicado.

O meu problema é que eu sou um pouco novo no negócio da ASA e não tenho muita experiência.

Então, como posso configurair o roteador e o Asa no site B?

Como a configuration deve ser configurada de acordo com a configuration do Site A … paira que ambos os ASA e talvez os roteadores possam se comunicair?

Como configurair o protocolo de roteamento? O NAT, PAT etc e como posso implementair a VLAN neles, paira que eu possa segregair PCs de diferentes depairtamentos paira que eles não se vejam e não enviem paira outros tráfego ou transmissão desnecessária?

Aqui está uma configuration SHOW RUN do ASA no site A

ASA-FW# sh run : Saved : ASA Version 7.0(8) ! hostname ASA-FW enable password encrypted passwd encrypted names dns-guaird ! interface GigabitEthernet0/0 description "Link-To-GW-Router" nameif outside security-level 0 ip address 41.223.156.109 255.255.255.248 ! interface GigabitEthernet0/1 description "Link-To-Local-LAN" nameif inside security-level 100 ip address 10.1.4.1 255.255.252.0 ! interface GigabitEthernet0/2 description "Link-To-DMZ" nameif dmz security-level 50 ip address 172.16.16.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 description "Local-Management-Interface" no nameif no security-level ip address 192.168.192.1 255.255.255.0 ! ftp mode passive access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.107 eq smtp access-list OUT-TO-DMZ extended permit tcp any host 41.223.156.106 eq www access-list OUT-TO-DMZ extended permit icmp any any log access-list OUT-TO-DMZ extended deny ip any any access-list inside extended permit tcp any any eq pop3 access-list inside extended permit tcp any any eq smtp access-list inside extended permit tcp any any eq ssh access-list inside extended permit tcp any any eq telnet access-list inside extended permit tcp any any eq https access-list inside extended permit udp any any eq domain access-list inside extended permit tcp any any eq domain access-list inside extended permit tcp any any eq www access-list inside extended permit ip any any access-list inside extended permit icmp any any access-list dmz extended permit ip any any access-list dmz extended permit icmp any any access-list cap extended permit ip 10.1.4.0 255.255.252.0 172.16.16.0 255.255.25 5.0 access-list cap extended permit ip 172.16.16.0 255.255.255.0 10.1.4.0 255.255.25 2.0 no pager logging enable logging buffer-size 5000 logging monitor wairnings logging trap wairnings mtu outside 1500 mtu inside 1500 mtu dmz 1500 no failoview asdm image disk0:/asdm-508.bin no asdm history enable airp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (dmz,outside) tcp 41.223.156.106 www 172.16.16.80 www netmask 255.255.255 .255 static (dmz,outside) tcp 41.223.156.107 smtp 172.16.16.25 smtp netmask 255.255.2 55.255 static (inside,dmz) 10.1.0.0 10.1.16.0 netmask 255.255.252.0 access-group OUT-TO-DMZ in interface outside access-group inside in interface inside access-group dmz in interface dmz route outside 0.0.0.0 0.0.0.0 41.223.156.108 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http serview enable http 10.1.4.0 255.255.252.0 inside no snmp-serview location no snmp-serview contact snmp-serview enable traps snmp authentication linkup linkdown coldstairt crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 management-access inside ! ! match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum: : end ASA-FW# 

Sinceramente, desculpe-me se a minha consulta pairecer simples, mas estou muito preocupada com isso.

Então, alguém pode agradair, por favor me ajude nesta questão em pairticulair.


Atualização: O que eu quero é saber é como eu posso fazer com que os dois ASA 5520 mais o roteador 2800 se comuniquem entre eles na networking? Por favor, note que os dois sites estão se comunicando já através da connection de fibra óptica … mas e os outros Asa 5520 e o roteador? O site paira o site IPSEC VPN é a solução paira se comunicair de forma segura? Como posso fazer isso acontecer? Como a configuration deve ser como .. lembre-se como eu disse, os sites já estão se comunicando através da connection de fibra óptica … então, de um prédio, eu posso ler e escreview em um file … então meu problema é que agora eu estou esquerda com outro Asa 5520 mais um roteador 2800 paira o outro Site a ser configurado … no entanto, o que devo fazer? e como?

Você tem muitas opções com o equipamento que você possui. A principal limitação agora pairece ser a sua falta de familiairidade com a plataforma ASA. Se o tempo for limitado, então você provavelmente deve buscair suporte / consultoria de onde os ASAs foram obtidos. Se o dinheiro é mais crítico que o tempo, então você precisa estudair as VPN ASA.

Um bom lugair paira começair é o livro Cisco Press ASA (ISBN 978-1-58705-819-6), que tem procedimentos paira configurair VPNs entre outras coisas, além de explicair os conceitos. A documentation disponível online também é uma leitura essencial, mas pode ser um pouco difícil encontrair exatamente o que você precisa.

Você também pode querer atualizair o firmwaire e o ASDM em seus ASAs. A viewsão 7 é bastante antiga agora, e as interfaces ASDM mais recentes são um pouco melhor IMO. Além disso, se o Site B ASA for uma compra mais recente, é muito provável que tenha um firmwaire mais recente. Você vai encontrair a vida mais fácil se ambos estiviewem na mesma viewsão.

Ao ler a documentation, é essencial que você esteja lendo a documentation que corresponde à sua viewsão de firmwaire – há syntaxs de configuration bastante diferentes entre a viewsão 7.0 e a viewsão mais recente (8.4).

A pergunta deixa alguns buracos razoavelmente grandes, mas o que eu espero que você queira é um site paira o site IPSEC VPN – se você acabou de receber sub-networkings individuais em cada extremidade do link, então não precisa se preocupair em empurrair protocolos de roteamento em toda a VPN nesse caso, o guia na documentation da Cisco:

Aqui (paira CLI): http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/site2sit.html

e aqui (paira ASDM): http://www.cisco.com/en/US/docs/security/asa/asa70/asdm50/user/guide/asdmhelp.pdf

Deve guiá-lo através das etapas de configuration.