CCIE.pl

Cześć wam wszystkim.

Potrzebuję pomocy w konfiguracji ASA z fire power services. Sama ASA działa ok, ale nie mogę przesłać do ASA odpowiednich reguł, topologia jak poniżej:

Udało mi się zainstalować odpowiedni moduł na ASA i go skonfigurować:

W management center urządzenie jest widziane i ma status zielony:

ktoś ma jakiś pomysł dlaczego tak ?

Ale nie może już przesłać odpowiedniej Access Control Policy:

Policy musisz zainstalować na sfr. Jeżeli próbujesz instalować wywala błąd? Jeżeli tak to jaki?

Nie do końca cię rozumiem, co masz na myśli mówiąc czy policy zainstalowałem na sfr.

Chodzi Ci o to, czy stworzyłem na ASA to:

Kod: Zaznacz cały

ASA(config)# access-list SFR extended permit ip any any
ASA(config)# class-map SFR
ASA(config-cmap)# match access-list SFR
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy 
ASA(config-pmap)# class SFR
ASA(config-pmap-c)# sfr fail-open
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit

?

Nie. W Management Center jak wyklikasz politykę to musisz ją potem zaaplikować do IPS-a

A w między czasie znalazłem chyba o co pytałeś:

w module sfr wpisuje:

Kod: Zaznacz cały

 system access-control archive

?

To polecenie przechodzi i kiedy zrobie sobie:

Kod: Zaznacz cały

 show access-control-config

widze mniej wiecej cos takiego

Kod: Zaznacz cały

ASA_TEST2
Desription ASA TEST_2
Default Action Bloack

A wlasnie, przy tych moich super testach usunalem sobie z Management Center defaultowa polityke... czy jestem w stanie jakos ja przywrócić ? Jest jakaś opcja resetowanie Management Center do defaultowych ustawień ? Debil ze mnie i nie zrobiłem sobie snapshota... A boję się, że po reinstalce zmieni się adres MAC....

Do configuration guide MC zaglądałeś?

Już chyba wszystkie configuration guide z Internetu poprzeglądałem. I te Ciscowe wypadają najsłabiej

wszyscy mają na obrazkach więcej Polices, takie defaultowe, ja ich nie mam i tak się zastanawiam czy to nie jest problemem. Najchętniej to bym przeinstalował to całe Management Center tylko te problemy z licencjami :-/
Ponawiam pytanie: da się zresetować całą VM'kę do ustawień początkowych z zachowaniem tego MAC'a co mi wygenerowało ?

TO chyba powinno Ci przywrócić polityki i początkową konfigurację bez tworzenia VMki od podstaw

Mówisz o tym configuration guide co ma prawie 2tyś stron? Mało dokładny?:) Jeżeli masz wersję <6.0, polityki wysyłasz do modułu zielonym ptaszkiem po prawej stronie od nazwy polityki - każdej oddzielnie ( apply policy ). Jeżeli >6.0 wszystkie polityki wysyłasz z jednego miejsca - przycisk deploy w prawym górnym rogu

Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?

TAC podeśle Ci dokumentacje jak to skonfigurować jeśli to nigdy nie działało i jest to pierwszy deployment. Ja bym tak zrobił na ich miejscu

Pozdro,

frytek pisze:Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?

Podejście na lenia. Zamiast samemu pokombinować, a dostałeś sporo przydatnych rad i linki to uderzasz do TAC-a, który za Ciebie tego przecież i tak nie postawi.

Przeinstalowalem jeszcze raz FirePower na ASA. Dalej nic, w Cisco FirePower system Pre-Deploy configuration przechodzi ale Policy Deployment failed ;/

Przeczytaj jeszcze raz co napisaliśmy wcześniej oraz co jest w configuration guide - Musisz mieć polityki zdefiniowane w Management Center i dopiero instalujesz je na sensorach. Reinstalacja softu na sensorze nic ci nie da.

Hmm:

CCIE.pl

Problem z FirePower

Problem z FirePower