MULTI-PROTOCOL LABEL SWITCHING
Pengertian MPLS
Multiprotocol label switching (MPLS) adalah teknologi
penyampaian paket pada jaringan backbone berkecepatan tinggi.
MPLS mrpkan solusi fleksibel untuk menangani permasalahan
network dewasa ini seperti speed, scalability, quality-of-service (QoS)
management, dan traffic engineering.
Fungsi MPLS
n Menspesifikasi mekanisme untuk
mengatur aliran traffic seperti aliran traffic antar hardware sampai antar
aplikasi.
n Tetap independen pada Layer-2 dan
Layer-3 protocol
n Menyediakan metode untuk mapping IP
address menjadi label-label fix yang digunakan oleh berbagai teknologi
packet-forwarding dan packet-switching yang berbeda
n Sebagai interface bagi routing
protocol yang sudah exist spt resource reservation protocol (RSVP) dan open
shortest path first (OSPF)
n Mendukung IP, ATM, dan frame-relay
Layer-2 protocol
Label Switching Router (LSR)
n LSR adalah sebuah high-speed router
device pada inti dari sebuah network MPLS yang berpartisipasi dalam pembuatan
LSP menggunakan label signaling protocol yang cocok dan switching data traffic
secara cepat berdasarkan path yang telah dibuat.
Label Edge Router (LER)
n LER adalah sebuah device yang
berjalan dibatas dari access network dan MPLS network.
n LER mendukung multiple ports yang
terhubung ke network yang berbeda (spt frame relay, ATM, dan Ethernet) dan forward
traffic ini ke MPLS network setelah membuat LSP, menggunakan label signaling
protocol pada ingress dan mendistribusikan traffic kembali ke access networks
pada egress.
n Peran LER adalah assignment and
removal label, ketika traffic masuk dan keluar dari MPLS network.
Forward Equivalence Class (FEC)
n forward equivalence class (FEC)
adalah sebuah representasi dari sekumpulan paket yang menggunakan requirement
bersama-sama untuk transport.
n Semua paket pada grup tersebut
mendapat perlakuan yang sama untuk menuju destination.
n Pada MPLS assignment paket untuk FEC
dilakukan hanya sekali ketika paket masuk kedalam network.
n Setiap LSR membangun tabel untuk
menentukan bagaimana paket harus diforward.
MPLS generic label format
n Penentuan label dapat ditentukan oleh
forwarding criteria seperti dibawah ini:
• destination
unicast routing
• traffic
engineering
• multicast
• virtual
private network (VPN)
• QoS
Label Creation
n Terdapat tiga metode label creation :
•topology-based
method—menggunakan proses normal dari routing protocol (seperti OSPF dan
BGP)
•request-based method—prosesnya
menggunakan request-based control traffic (contohnya RSVP)
•traffic-based
method—menggunakan penerimaan paket sebagai trigger untuk assignment dan
distribusi label
Label distribution
n Berbagai metode label distribution /
exchange pada MPLS network :
• LDP—mapping
unicast IP destination menjadi label
• RSVP,
CR-LDP—digunakan untuk traffic engineering dan resource reservation
• protocol-independent
multicast (PIM)—digunakan untuk mapping label multicast states
•
BGP—external label (VPN)
Label Switched Paths (LSP)
Adalah sebuah kumpulan dari device-device MPLS-enabled yang
merepresentasikan sebuah MPLS domain. Dalam sebuah MPLS domain, sebuah path
dibuat untuk paket tertentu dapat berjalan pada sebuah FEC(unidirectional). LSP
dibuat sebelum transmisi data. Terdapat dua opsi untuk menset-up LSP
hop-by-hop routing—setiap LSR scr independen memilih next hop. LSR menggunakan
routing protocol yang tersedia seperti OSPF dan lain-lain.
• explicit
routing—ingress LSR (LSR dimana data pertama kali berjalan kedalam network)
mengidentifikasi list node dimana LSP berjalan. Disepanjang jalan, resource dpt
direserve utk memastikan QoS dari data traffic.
Label space
n label yang digunakan oleh LSR untuk
binding FEC-label dikategorikan sebagai berikut :
• per
platform—nilai label unik untuk semua LSR. Label-label dialokasikan dari
pool yang sama.
• per
interface—cakupan label dihubungkan dengan interfaces. Terdapat Multiple
label pool untuk interfaces, dan label yang diberikan pada interface didapat
dari pool-pool yang berbeda. Label pada interface yang berbeda dapat memiliki
nilai yang sama.
Label retention
n conservative—pada mode ini, binding antara sebuah
label dan sebuah FEC yang diterima dari LSRs yg bukan mrpkan next hop akan
didiscard. Mode ini direkomendasikan untuk ATM-LSRs.
n liberal—pada mode ini, bindings antara sebuah
label dan sebuah FEC yang diterima dari LSRs yg bukan mrpkan next hop akan
disimpan. Mode ini memudahkan utk adaptasi cepat thd perubahan topology
Signalling mechanism
n label request—sebuah LSR me-request label dari downstream
neighbor sehingga label tsb dpt dibinding dengan FEC yg telah ditentukan.
Mekanisme ini dpt dilakukan dari bawah rantai LSR sampai egress LER.
n label mapping—untuk merespon label request, sebuah
downstream LSR akan mengirim label kepada upstream initiator menggunakan label
mapping mechanism.
Label Distribution Protocol (LDP)
n LDP adalah sebuah protocol baru untuk
distribusi informasi label binding kepada LSR dalam sebuah MPLS network.
Terdapat 3 message yang dipertukarkan :
• discovery
messages—mengumumkan dan menjaga kehadiran LSR dalam sebuah network
• session
messages—establish, maintain, dan terminate sessions diantara LDP peers
•
advertisement messages—create, change, dan delete label mapping untuk FEC
•
notification messages—menyediakan informasi tambahan dan signal error.
Traffic Engineering
n Traffic engineering adalah sebuah
proses yang meningkatkan secara keseluruhan dari network utilization dengan
berusaha untuk menciptakan bentuk distribusi traffic tunggal atau berbeda-beda
didalam network. Dampak menguntungkan dari proses ini adalah congestion
avoidance pada path-path dalam MPLS network.
Constraint-Based Routing
n Constraint-based routing (CR) adalah
parameter-parameter yang dihitung, seperti karakteristik link (bandwidth,
delay, dll.), hop count, dan QoS. LSP yang dibuat dapat berupa CR-LSP, dimana
constraintnya dapat berupa explicit hops atau QoS requirement. Explicit hops
mendikte path mana yang akan digunakan. QoS requirements mendikte link mana dan
mekanisme scheduling atau antrian apa yang digunakan untuk traffic agar
berjalan.
MPLS Operation
n Tahap-tahap berikut ini harus
dilakukan agar paket data dapat berjalan pada MPLS domain.
1. label
creation and distribution
2. table
creation at each router
3.
label-switched path creation
4. label
insertion/table lookup
5. packet
forwarding
n Tahap 1 : label creation and label
distribution
n Tahap 2 : table creation
n Tahap 3 : LSP creation
n Tahap 4 : label insertion / table
lookup
n Tahap 5 : packet forwarding
MPLS Application
n MPLS menangani secara efektif
requirement untuk backbone yang dibutuhkan pada jaringan saat ini dengan
menyediakan solusi berbasis standar yang dapat memberikan keuntungan sbb :
n Meningkatkan performa
packet-forwarding dalam network :
• MPLS
meningkatkan dan menyederhanakan packet forwarding melalui routers menggunakan
paradigma Layer-2 switching.
• MPLS
simple, mudah mengimplementasikan.
• MPLS
meningkatkan performa network
n Mendukung QoS and CoS untuk service
differentiation
• MPLS menggunakan
traffic-engineered path dan membantun mencapai jaminan layanan.
• MPLS
mengharuskan untuk menggabungkan constraint-based dan explicit path setup.
n Mendukung network scalability
• MPLS dapat
digunakan untuk menghindari permasalahan dengan jaringan IP-ATM meshed
n mengintegrasikan IP dan ATM didalam
network
• MPLS
menyediakan sebuah bridge (jembatan) diantara access IP dan core ATM.
• MPLS dapat
digunakan ulang (reuse) router/ATM hardware yang sudah ada, dan secara efektif
menggabungkan dua network yang berbeda.
n Membangun interoperable networks
• MPLS adalah
sebuah solusi berbasis standar yang mensinergikan antara IP dan ATM network.
• MPLS
menfasilitasi integrasi IP-over-synchronous optical network (SONET) integration
dalam optical switching.
• MPLS membantu
membangun scalable VPN dengan kemampuan traffic-engineering.
Tunneling in MPLS
n Salah satu fitur unik dari MPLS
adalah MPLS dapat melakukan kontrol thd seluruh path pada sebuah paket tanpa
menspesifikasikan intermediate router yang digunakan. MPLS membuat tunnels
melalui intermediary routers yang meliputi berbagai segmen. Konsep ini
digunakan untuk VPN berbasis MPLS
n
Contoh command MPLS
n
Contoh command MPLS untuk support tunnels
1. Router(config)#
ip cef Enable standard CEF operation. For information about CEF
configuration and command syntax, see the
2. Router(config)#
mpls traffic-eng tunnels Enables the MPLS traffic engineering
tunnel feature on a device.
n
Contoh command MPLS untuk traffic engineering tunnels
1. Router(config)# interface
tunnel1 Configure an interface type and enter interface
configuration mode.
2. Router(config-if)#
tunnel destination A.B.C.D Specify the destination for a tunnel.
3. Router(config-if)#
tunnel mode mpls traffic-eng Set encapsulation mode of the
tunnel to MPLS traffic engineering.
4. Router(config-if)#
tunnel mpls traffic-eng bandwidth bandwidth Configure bandwidth
for the MPLS traffic engineering tunnel.
5. Router(config-if)#
tunnel mpls traffic-eng path-option 1 explicit name boston Configure a named IP
explicit path.
6. Router(config-if)#
tunnel mpls traffic-eng path-option 2 dynamic Configure a backup
path to be dynamically calculated from the traffic engineering topology
database.
thx indo-cisco
Selasa, 11 Mei 2010
ipsec dengan nat? gak bersahabat? tunggu dulu..
setting site-to site ipsec tidak bisa nat untuk ip lokal?
sedikit sharing:
router#config t
router(config)#
router(config)#ip access-list extended NAT
router(config-ext-acl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
router(config-ext-acl)#permit ip any any
router(config-ext-acl)#
router(config-ext-acl)#exit
router(config)#
router(config)#route-map POLICY-NAT 10
router(config-route-map)#match ip address NAT
router(config-route-map)#
router(config-route-map)#exit
router(config)#
router(config)#ip nat source route-map POLICY-NAT interface s0/0 overload
router(config)#
router(config)#ip nat inside source static tcp 192.168.1.10 25 12.34.56.2 25 route-map POLICY-NAT extendable
router(config)#
router(config)#interface f1/0
router(config-if)#ip nat inside
router(config-if)#
router(config-if)#interface s0/0
router(config-if)#ip nat outside
router(config-if)#
router(config-if)#end
router#
router# copy run start
Selasa, 27 April 2010
ASA netflow monitoring bandwidth dan source
ASA cisco firewall adalah firewall yang di provide oleh cisco.
tidak ada nya fitur untuk melihat siapa pengguna traffic terbesar di asdm memicu saya untuk menggunakan cara lain.
sebenarnya ini menjadi semacam kekurangan dari firewall ini, kenapa cisco begitu pelit untuk memasukkan fitur monitoring di dalam firewall mereka menjadi lebih spesific.karena dari beberapa firewall yang saya pernah gunakan fitur monitoring adalah salah satu fitur yang harusnya mengawali aktifitas monitoring jaringan dari tangan-tangan usil dari luar.
Configure our routers to do a few things:
1. Install Software that analyze NetFlow
2. Enable NetFlow on the router
3. Configure the router to send the logs to a netflow analyzer server (needs to be configure before)
Once you got the server or PC up and running with a netflow software (there are a lot of free application, I used Manage Engine NetFlow Analyzer 6 which allows you to monitor 2 router for free) , We need to tell the router to send the NetFlow logs to the server, To do that here is the commands we need to type:
Router(config)# ip flow-export destination {hostname|ip_address} 9996
Router(config)# ip flow-export source {interface} {interface_number}
Router(config)#ip flow-export version 5
Router(config)# ip flow-export version 5
Router(config)# ip flow-cache timeout inactive 15
Router(config)# snmp-server ifindex persist
To monitor and Check that we configured the Router to send the logs type:
Router# show ip flow export
Router# show ip cache flow
Router# show ip cache verbose flow
Configuration Sample:
router#configure terminal
router(config)#interface FastEthernet 0/1
router(config-if)#ip route-cache flow
router(config-if)#exit
router(config)#ip flow-export destination 10.60.1.254 9996
router(config)#ip flow-export source FastEthernet 0/1
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#ip flow-cache timeout inactive 15
router(config)#snmp-server ifindex persist
router(config)#^Z
router# copy run start
router#show ip flow export
router#show ip cache flow
To Cancel NetFlow:
no ip flow-export destination {hostname|ip_address} {port_number}
no ip route-cache flow
tidak ada nya fitur untuk melihat siapa pengguna traffic terbesar di asdm memicu saya untuk menggunakan cara lain.
sebenarnya ini menjadi semacam kekurangan dari firewall ini, kenapa cisco begitu pelit untuk memasukkan fitur monitoring di dalam firewall mereka menjadi lebih spesific.karena dari beberapa firewall yang saya pernah gunakan fitur monitoring adalah salah satu fitur yang harusnya mengawali aktifitas monitoring jaringan dari tangan-tangan usil dari luar.
Configure our routers to do a few things:
1. Install Software that analyze NetFlow
2. Enable NetFlow on the router
3. Configure the router to send the logs to a netflow analyzer server (needs to be configure before)
Once you got the server or PC up and running with a netflow software (there are a lot of free application, I used Manage Engine NetFlow Analyzer 6 which allows you to monitor 2 router for free) , We need to tell the router to send the NetFlow logs to the server, To do that here is the commands we need to type:
Router(config)# ip flow-export destination {hostname|ip_address} 9996
Router(config)# ip flow-export source {interface} {interface_number}
Router(config)#ip flow-export version 5
Router(config)# ip flow-export version 5
Router(config)# ip flow-cache timeout inactive 15
Router(config)# snmp-server ifindex persist
To monitor and Check that we configured the Router to send the logs type:
Router# show ip flow export
Router# show ip cache flow
Router# show ip cache verbose flow
Configuration Sample:
router#configure terminal
router(config)#interface FastEthernet 0/1
router(config-if)#ip route-cache flow
router(config-if)#exit
router(config)#ip flow-export destination 10.60.1.254 9996
router(config)#ip flow-export source FastEthernet 0/1
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#ip flow-cache timeout inactive 15
router(config)#snmp-server ifindex persist
router(config)#^Z
router# copy run start
router#show ip flow export
router#show ip cache flow
To Cancel NetFlow:
no ip flow-export destination {hostname|ip_address} {port_number}
no ip route-cache flow
Kamis, 18 Maret 2010
Etherchannel/port-channel
Etherchannel/port-channel
On different Cisco switches it is possible to create logical connections that
are made-up off different fysical interface. It is needed that these interface
do have the same speed.
Most Cisco switches support max 64 etherchannels. These interfaces do not have to be contiguous.
or even on the same module. Each channel must be made up of min 2, max 8 interfaces.
The best is to use 2 ,4 or 8 interfaces. This will give the perfect load-balancing.
The load-balancing can be bases on layer 2/3 or 4 information.
It is not possible to have different load-balancing methods for different Etherchannels
on one switch. If the load-balancing method is change, it is applicable for all.
The load-balancing method can be:
- src-mac
- dst-mac
- src-dst-mac
- src-ip
- dst-ip
- src-dst-ip
- src-port
- dst-port
- src-dst-port
By using it is possible to change to method.
If a single header is used to load-balance the low-order bits is used to dictate to
witch interface the frame is send. If two headers are used a XOR function is used on
the low-order bits.
It is possible to change what path with-in the etherchannel a frame takes by used the following command:
to assign a physical interface towards a port-channel use the following command:
channel-group [#] mode on
There are two type of dynamic protocols to negotiate an etherchannels: PAgP and LACP 8021.AD
PAgP is Cisco proprietary
When these protocols start to communicate there is an exchange of information before the port-channel can be formed. The following items must match before a port-channel can form:
- same speed/duplex
- Access VLAN (if not trunked)
- Same trunking type, allowed VLAN and native VLAN (if trunked)
- Each port must have the same STP cost per VLAN with-in the portchannel
- No SPAN ports
channel-group [#] mode on (disables PAgP en LACP)
channel-group [#] mode off (disables PAgP en LACP and prevent the ports to form a port-channel)
channel-group [#] mode auto (use PAgP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode passive (use LACP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode desirable (use PAgP in an active mode, it will start to send PAgP packets)
channel-group [#] mode active (use LACP in an active mode, it will start to send LACP packets)
3750(config)#interface range gigabitethernet 1/0/2 - 4
3750(config-if-range)#channel-group 1 mode on
3750(config-if-range)#switchport
3750(config-if-range)#switchport trunk encapsulation dot1q
3750(config-if-range)#switchport mode trunk
First type the channel-group command. After that all interface commands will be automatically duplicated on all the interfaces group in the channel-group.
With LACP it is possible to create a port-channel on a stack (3560/3750 switches).
This is based on IOS version 12.2(25)SEE
Show command’s
· show interfaces port-channel [channel-group-number]
· show etherchannel [channel-group-number] summary
Verify command’s
* test etherchannel load-balance interface port-channel [#] ip [src] [dst
On different Cisco switches it is possible to create logical connections that
are made-up off different fysical interface. It is needed that these interface
do have the same speed.
Most Cisco switches support max 64 etherchannels. These interfaces do not have to be contiguous.
or even on the same module. Each channel must be made up of min 2, max 8 interfaces.
The best is to use 2 ,4 or 8 interfaces. This will give the perfect load-balancing.
The load-balancing can be bases on layer 2/3 or 4 information.
It is not possible to have different load-balancing methods for different Etherchannels
on one switch. If the load-balancing method is change, it is applicable for all.
The load-balancing method can be:
- src-mac
- dst-mac
- src-dst-mac
- src-ip
- dst-ip
- src-dst-ip
- src-port
- dst-port
- src-dst-port
By using
If a single header is used to load-balance the low-order bits is used to dictate to
witch interface the frame is send. If two headers are used a XOR function is used on
the low-order bits.
It is possible to change what path with-in the etherchannel a frame takes by used the following command:
to assign a physical interface towards a port-channel use the following command:
channel-group [#] mode on
There are two type of dynamic protocols to negotiate an etherchannels: PAgP and LACP 8021.AD
PAgP is Cisco proprietary
When these protocols start to communicate there is an exchange of information before the port-channel can be formed. The following items must match before a port-channel can form:
- same speed/duplex
- Access VLAN (if not trunked)
- Same trunking type, allowed VLAN and native VLAN (if trunked)
- Each port must have the same STP cost per VLAN with-in the portchannel
- No SPAN ports
channel-group [#] mode on (disables PAgP en LACP)
channel-group [#] mode off (disables PAgP en LACP and prevent the ports to form a port-channel)
channel-group [#] mode auto (use PAgP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode passive (use LACP in a passive mode, it will wait until a PAgP packet will be send)
channel-group [#] mode desirable (use PAgP in an active mode, it will start to send PAgP packets)
channel-group [#] mode active (use LACP in an active mode, it will start to send LACP packets)
3750(config)#interface range gigabitethernet 1/0/2 - 4
3750(config-if-range)#channel-group 1 mode on
3750(config-if-range)#switchport
3750(config-if-range)#switchport trunk encapsulation dot1q
3750(config-if-range)#switchport mode trunk
First type the channel-group command. After that all interface commands will be automatically duplicated on all the interfaces group in the channel-group.
With LACP it is possible to create a port-channel on a stack (3560/3750 switches).
This is based on IOS version 12.2(25)SEE
Show command’s
· show interfaces port-channel [channel-group-number]
· show etherchannel [channel-group-number] summary
Verify command’s
* test etherchannel load-balance interface port-channel [#] ip [src] [dst
Senin, 22 Februari 2010
Port Cisco Penting
Here’s a handy list of ACL entries to allow your devices to speak routing protocols, availability protocols, and some other stuff. We’ll assume you have ACL 101 applied to your Ethernet inbound; your Ethernet has an IP of 192.168.0.1.
* BGP : Runs on TCP/179 between the neighbors
access-list 101 permit tcp any host 192.168.0.1 eq 179
* EIGRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.10
access-list 101 permit eigrp any host 224.0.0.10
* OSPF : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.5; also talks to 224.0.0.6 for DR/BDR routers
access-list 101 permit ospf any host 224.0.0.5
access-list 101 permit ospf any host 224.0.0.6
* HSRP : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.2. I’ve seen in the past that it runs on UDP/1985, but I didn’t find any evidence of that in a quick Google for it. Can someone verify?
access-list 101 permit udp any host 224.0.0.2 eq 1985
* HSRP version 2 : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.102.
access-list 101 permit udp any host 224.0.0.2 eq 1985
* RIP : Runs on UDP/520 from the source interface IP to the multicast address of 224.0.0.9
access-list 101 permit udp any host 224.0.0.9 eq 520
* VRRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.18
access-list 101 permit 112 any host 224.0.0.18
* VRRP-E : This is a Foundary thing according to readers, and runs on UDP/8888 from the source interface IP to the multicast address of 224.0.0.2
access-list 101 permit 112 any host 224.0.0.2 eq 8888
* GLBP : Runs on UDP from the source interface IP to the multicast address of 224.0.0.102
access-list 101 permit udp any host 224.0.0.102
* DHCPD (or bootps) : Runs on UDP/67 from 0.0.0.0 (since the client doesn’t have an address yet) to 255.255.255.255 (the broadcast).
access-list 101 permit udp any host 255.255.255.255 eq 67
If anyone else has one to add, do so in the comments.
* BGP : Runs on TCP/179 between the neighbors
access-list 101 permit tcp any host 192.168.0.1 eq 179
* EIGRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.10
access-list 101 permit eigrp any host 224.0.0.10
* OSPF : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.5; also talks to 224.0.0.6 for DR/BDR routers
access-list 101 permit ospf any host 224.0.0.5
access-list 101 permit ospf any host 224.0.0.6
* HSRP : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.2. I’ve seen in the past that it runs on UDP/1985, but I didn’t find any evidence of that in a quick Google for it. Can someone verify?
access-list 101 permit udp any host 224.0.0.2 eq 1985
* HSRP version 2 : Runs on UDP/1985 from the source interface IP to the multicast address of 224.0.0.102.
access-list 101 permit udp any host 224.0.0.2 eq 1985
* RIP : Runs on UDP/520 from the source interface IP to the multicast address of 224.0.0.9
access-list 101 permit udp any host 224.0.0.9 eq 520
* VRRP : Runs on its own protocol number from the source interface IP to the multicast address of 224.0.0.18
access-list 101 permit 112 any host 224.0.0.18
* VRRP-E : This is a Foundary thing according to readers, and runs on UDP/8888 from the source interface IP to the multicast address of 224.0.0.2
access-list 101 permit 112 any host 224.0.0.2 eq 8888
* GLBP : Runs on UDP from the source interface IP to the multicast address of 224.0.0.102
access-list 101 permit udp any host 224.0.0.102
* DHCPD (or bootps) : Runs on UDP/67 from 0.0.0.0 (since the client doesn’t have an address yet) to 255.255.255.255 (the broadcast).
access-list 101 permit udp any host 255.255.255.255 eq 67
If anyone else has one to add, do so in the comments.
Mengemulasi cisco ASA
berikut tautan nya, thx buat kontribusi dari penulis..sudah saya coba sendiri dan berhasil..god work buat semua tangan dan pikiran yg buat..cool..
http://superlubis.blogspot.com/
Cisco ASA adalah produk cisco biasanya digunakan untuk masalah security seperti firewall dan VPN dalam tulisan ini saya akan mencoba memamaparkan cara mengemulasi CISCO ASA dengan cara yang mudah dimengerti. Terimakasih sebesar2 kepada thumpercisco dan teman di hacki forum. Secara garis besar cara untuk mengemulasi cisco asa bisa dibagi menjadi
1. Download software-software yang dibutuhkan
2. Buat Microsoft Loopback Interface dan setting ip.
3. Liat nilai NIO _gen dari masing loopback interface, ini akan digunakan untuk mengedit file ASA-nolina_WIN.bat dan ASA-nolina.bat.
4. Edit file ASA-nolina_WIN.bat dan ASA-nolina.bat, sesuaikan nilai NIO_gen dengan yang ada pada masing2 komputer , karena biasanya selalu berbeda.
5. Jalankan file ASA-nolina_WIN.bat , ketik beberapa perintah, sampai pada tahap ini kita sudah bisa masuk ASA console. Untuk bisa menggunakan ASDM ada beberapa Step lagi.
6. Setting ip ethernet interface ASA.
7. Transfer file asdm dari TFTP Server ke Cisco ASA
8. Config ASA agar bisa diakses lewat web
9. Jalankan fiddler dan edit konfigurasinya.
10. Buka browser dan ketik address CISCO ASA, insya allah Jalan. Oke kita akan langsung kedetailnya mudah2 gak terlalu panjang dan mudah dimengerti.
1. Download Software2 yang dibutuhkan
* Fiddler 2 -> http://www.fiddler2.com/Fiddler2/version.asp
* GNS 3 -> http://www.gns3.net/download
* http://www.4shared.com/file/40629410/1a33eae5/qemu.html
* OpenTFTP Server -> http://sourceforge.net/projects/tftp-server/
* asdm-602.BIN bisa didapatkan disite cisco.com dengan account cco.
2. Buat Microsoft loopback
Loopback digunakan untuk membinding interface ASA kekomputer kita, dalam CISCO ASA ada 6 interface yaitu ethernet 0/0 - 0/5 , jika kita ingin menggunakan semua interface maka kita harus buat 6 loopback, dalam tulisan ini saya hanya buat 3 loopback yaitu untuk 3 interface ethernet 0/0 - 0/2. Caranya Cukup mudah,
* Start -> Control Panel -> Add Hardware
Pilih option "Yes, I Already Connected The Hardware" -> Next
Scrool sampai bawah pilih "Add New Hardware Device" -> Next
Pilih Option "Install Hardware That I Manualy Select From The List(Advance)" -> Next
Pilih List "Network Adapter" -> Next
Pilih List Manufacture " Microsoft " dan Network Adapter "Microsoft Loopback Adapter"
Next
And Thats all untuk membuat loopback , bisa dilihat di Start -> Control Panel -> Network Connection Sudah ada adapter baru. Kalo saya, saya rubah namanya menjadi yang lebih mudah dimengerti seperti lo0. Dan saya mengulangi langkah ini 2 kali lagi karena saya membutuhkan 3 interface loopback. Dan saya sekaligus mengassign IP untuk tip loopback, lo0 192.168.1.1/24 , lo1 192.168.2.1/24, dan l02 192.168.3.1/24
3. Instalasi GNS, instalasiinya cukup mudah, pilih semua paket yang diinstall lalu tinggal click next next and next.
4. Jalankan Program -> GNS3 -> Network Device List Catat or salin ke notepad nilai NIO_gen_eth dari masing loopback yang kita buat
disini kita bisa liat nilainya
Lo0 : NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
Lo1 : NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
Lo2 : NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
4. Setting QEMU
Download file http://www.4shared.com/file/40629410/1a33eae5/qemu.html , ekstrasi Terserah dimana asal inget. Contoh saya ekstrasi di C:\qemu, browse kedalam cari file ASA-nolina_WIN.bat dan ASA-nolina.bat, kuncinya di kedua file ini. Kita edit kedua file.
4.1 Edit File ASA-nolina.bat
Aslinya
Yang perlu diedit adalah tulisan yang dibold sesuaikan dengan nilai NIO_gen_eth yang telah kita catat diatas.
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85EE-3EDE-444C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-11C5-2DB6859A0F6C}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
Penjelasan :
set nic1=-net nic,vlan=0 -> ini adalah lo0 atau ethernet 0/0, binding dari lo0 kita ke e0/0
set nic2=-net nic,vlan=1 -> ini adalah lo1 atau ethernet 0/1, binding dari lo1 kita ke e0/1
set nic3=-net nic,vlan=2 -> ini adalah lo2 atau ethernet 0/2, binding dari lo2 kita ke e0/2
Setelah Diedit
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
4.2 Edit File ASA-nolina_WIN.bat
File ini juga isinya tidak jauh berbeda, dan yang perlu diedit pun sama yaitu nilai NPF yang sudah saya bold, disesuaikan dengan nilai yang didapat dikomputer.
Aslinya
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF312}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F61}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-CC5D-E4233973E122}
-serial telnet::1234,server,nowait
Setelah diedit
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
-serial telnet::1234,server,nowait
5. Jalankan ASA-nolinna_WIN.bat
Sampai tahap ini kita tinggal menjalankan file ASA-nolina_WIN.bat. lalu akan tampil window seperti dibawah ini.
lalu jalankan command prompt dan telnet ke 127.0.0.1 port 1234.
C:\telnet 127.0.0.1 1234
Lalu jalankan perintah dibawah ini dan insya allah akhirnya akan tampil ASA prompt
#modprobe e100
#ifconfig eth0 up
#ifconfig eth1 up
#ifconfig eth2 up
#cd /mnt/disk0
#./lina_monitor
6. Setting interface Cisco ASA
Saatnya kita config sedikit, sekalian dites apakah bisa ping ke lo0,lo1, dan lo2. Eth0/0 terhubung(binding) ke lo0, Eth0/1 terhubung(binding) ke lo1, Eth0/2 terhubung(binding) ke lo2. berikut confignya
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.252 255.255.255.0
no shutdown
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.252 255.255.255.0
no shutdown
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.3.252 255.255.255.0
no shutdown
Kita coba ping dari command prompt ke ip address asa diatas.
C:\Documents and Settings\DELL>ping 192.168.1.252
Pinging 192.168.1.252 with 32 bytes of data:
Reply from 192.168.1.252: bytes=32 time=2ms TTL=255
Ping statistics for 192.168.1.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
C:\Documents and Settings\DELL>ping 192.168.2.252
Pinging 192.168.2.252 with 32 bytes of data:
Reply from 192.168.2.252: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.2.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 3ms, Average = 3ms
C:\Documents and Settings\DELL>ping 192.168.3.252
Pinging 192.168.3.252 with 32 bytes of data:
Reply from 192.168.3.252: bytes=32 time=11ms TTL=255
Ping statistics for 192.168.3.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 11ms, Average = 11ms
And sukses....Kita Coba dari Cisco ASA ke komputer kita.
ciscoasa# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
ciscoasa# ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa# ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa#
7. Transfer asdm-602.BIN ke Cisco ASA.
Untuk mentrasfer image asdm ke cisco ASA bisa menggunakan beberapa cara dalam tulisan ini saya menggunakan tftp server. Download program tftp server yang linknya sudah dikasih diatas , install program, lalu taruh image asdm di tempat kamu menginstall tftp server. Lalu copy file dengan perintah :
ciscoasa# copy tftp://192.168.1.1/asdm-602.BIN disk0:/asdm-602.BIN
8. Config ASA agar bisa diakses lewat web.
ciscoasa# config terminal
ciscoasa(config)# hostname ASA1
ASA1(config)# http server enable
ASA1(config)# http 192.168.1.0 255.255.255.0 inside <---- ini adalah network yang diijinkan akses lewat web
ASA1(config)# username superlubis password superlubis privilige 15
9. Config Fiddler2
- Download dan instalasi fiddler2, cara instalasi sangat mudah tinggal next next next dan next .......
- Jalankan fiddler2 -> Tools -> Fiddler Option -> Pilih tab HTTPS -> Check box Decrypt HTTP Traffic -> OK
- Set java client agar menggunakan localhost:8888 untuk proxy semua protokol, caranya (control panel -> java -> network settings -> use proxy server localhost:8888 -> advanced -> use same proxy for all protocols
- Lalu Edit rules caranya , Rules -> Costumize Rules
* Cari function static function OnBeforeResponse(oSession: Session) , dan tambah kan if(kondisi) dibawah ini
if (oSession.url.EndsWith("/admin/exec/show+version/show+curpriv/perfmon+interval+10/show+asdm+sessions/show+firewall/show+mode/changeto+system/show+admin-context")){
oSession.utilDecodeResponse();
oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5520,');
}
if (oSession.url.EndsWith("/admin/exec/show+version")){ oSession.utilDecodeResponse(); oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5510,'); }
* Cari function static function OnBeforeRequest(oSession: Session)
if ((oSession.url.EndsWith("/admin/asdm_handler")) || (oSession.url.EndsWith("/admin/pdm.sgz")))
{ oSession.bBufferResponse = false; }
10. Jalankan ASDM
Sebelumnya jalankan dulu fiddler2 lalu buka browser, ketik alamat https://192.168.1.252 , ignore dan accept masalah certificate , lalu akan tampil seperti dibawah ini. Lalu pilih " Run ASDM ", masukan username dan password yang sudah kita buat. Insyallah bisa jalan seperti saya...
http://superlubis.blogspot.com/
Cisco ASA adalah produk cisco biasanya digunakan untuk masalah security seperti firewall dan VPN dalam tulisan ini saya akan mencoba memamaparkan cara mengemulasi CISCO ASA dengan cara yang mudah dimengerti. Terimakasih sebesar2 kepada thumpercisco dan teman di hacki forum. Secara garis besar cara untuk mengemulasi cisco asa bisa dibagi menjadi
1. Download software-software yang dibutuhkan
2. Buat Microsoft Loopback Interface dan setting ip.
3. Liat nilai NIO _gen dari masing loopback interface, ini akan digunakan untuk mengedit file ASA-nolina_WIN.bat dan ASA-nolina.bat.
4. Edit file ASA-nolina_WIN.bat dan ASA-nolina.bat, sesuaikan nilai NIO_gen dengan yang ada pada masing2 komputer , karena biasanya selalu berbeda.
5. Jalankan file ASA-nolina_WIN.bat , ketik beberapa perintah, sampai pada tahap ini kita sudah bisa masuk ASA console. Untuk bisa menggunakan ASDM ada beberapa Step lagi.
6. Setting ip ethernet interface ASA.
7. Transfer file asdm dari TFTP Server ke Cisco ASA
8. Config ASA agar bisa diakses lewat web
9. Jalankan fiddler dan edit konfigurasinya.
10. Buka browser dan ketik address CISCO ASA, insya allah Jalan. Oke kita akan langsung kedetailnya mudah2 gak terlalu panjang dan mudah dimengerti.
1. Download Software2 yang dibutuhkan
* Fiddler 2 -> http://www.fiddler2.com/Fiddler2/version.asp
* GNS 3 -> http://www.gns3.net/download
* http://www.4shared.com/file/40629410/1a33eae5/qemu.html
* OpenTFTP Server -> http://sourceforge.net/projects/tftp-server/
* asdm-602.BIN bisa didapatkan disite cisco.com dengan account cco.
2. Buat Microsoft loopback
Loopback digunakan untuk membinding interface ASA kekomputer kita, dalam CISCO ASA ada 6 interface yaitu ethernet 0/0 - 0/5 , jika kita ingin menggunakan semua interface maka kita harus buat 6 loopback, dalam tulisan ini saya hanya buat 3 loopback yaitu untuk 3 interface ethernet 0/0 - 0/2. Caranya Cukup mudah,
* Start -> Control Panel -> Add Hardware
Pilih option "Yes, I Already Connected The Hardware" -> Next
Scrool sampai bawah pilih "Add New Hardware Device" -> Next
Pilih Option "Install Hardware That I Manualy Select From The List(Advance)" -> Next
Pilih List "Network Adapter" -> Next
Pilih List Manufacture " Microsoft " dan Network Adapter "Microsoft Loopback Adapter"
Next
And Thats all untuk membuat loopback , bisa dilihat di Start -> Control Panel -> Network Connection Sudah ada adapter baru. Kalo saya, saya rubah namanya menjadi yang lebih mudah dimengerti seperti lo0. Dan saya mengulangi langkah ini 2 kali lagi karena saya membutuhkan 3 interface loopback. Dan saya sekaligus mengassign IP untuk tip loopback, lo0 192.168.1.1/24 , lo1 192.168.2.1/24, dan l02 192.168.3.1/24
3. Instalasi GNS, instalasiinya cukup mudah, pilih semua paket yang diinstall lalu tinggal click next next and next.
4. Jalankan Program -> GNS3 -> Network Device List Catat or salin ke notepad nilai NIO_gen_eth dari masing loopback yang kita buat
disini kita bisa liat nilainya
Lo0 : NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
Lo1 : NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
Lo2 : NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
4. Setting QEMU
Download file http://www.4shared.com/file/40629410/1a33eae5/qemu.html , ekstrasi Terserah dimana asal inget. Contoh saya ekstrasi di C:\qemu, browse kedalam cari file ASA-nolina_WIN.bat dan ASA-nolina.bat, kuncinya di kedua file ini. Kita edit kedua file.
4.1 Edit File ASA-nolina.bat
Aslinya
Yang perlu diedit adalah tulisan yang dibold sesuaikan dengan nilai NIO_gen_eth yang telah kita catat diatas.
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85EE-3EDE-444C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{EF8043BA-8795-4F3D-11C5-2DB6859A0F6C}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
Penjelasan :
set nic1=-net nic,vlan=0 -> ini adalah lo0 atau ethernet 0/0, binding dari lo0 kita ke e0/0
set nic2=-net nic,vlan=1 -> ini adalah lo1 atau ethernet 0/1, binding dari lo1 kita ke e0/1
set nic3=-net nic,vlan=2 -> ini adalah lo2 atau ethernet 0/2, binding dari lo2 kita ke e0/2
Setelah Diedit
@echo off
cls
title ASA Simulator
setlocal
set command_name= qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-all.gz -m 256 --no-kqemu
set parameter= -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
set nic1=-net nic,vlan=0,model=i82557b,macaddr=00:aa:00:00:02:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
set nic2=-net nic,vlan=1,model=i82557b,macaddr=00:aa:00:00:02:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
set nic3=-net nic,vlan=2,model=i82557b,macaddr=00:aa:00:00:03:03
-net pcap,vlan=1,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
set options=-serial telnet::26001,server
%command_name% %parameter% %nic1% %nic2% %nic3% %nic4% %nic5% %nic6% %options%
4.2 Edit File ASA-nolina_WIN.bat
File ini juga isinya tidak jauh berbeda, dan yang perlu diedit pun sama yaitu nilai NPF yang sudah saya bold, disesuaikan dengan nilai yang didapat dikomputer.
Aslinya
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF312}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F61}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-CC5D-E4233973E122}
-serial telnet::1234,server,nowait
Setelah diedit
@echo off
ECHO Telnet to 127.0.0.1 on port 1234 to access ASA Console
ECHO -------------------------------------------------------
ECHO * * * * * * *DO NOT CLOSE THIS WINDOWS* * * * * * * *
qemupcap -L . -hda FLASH1 -hdachs 980,16,32 -kernel vmlinuz -initrd asa-nolina.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32"
-net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01
-net pcap,vlan=0,ifname=\Device\NPF_{F06C85DD-3EDE-4D0C-A4A6-8418076FF33B}
-net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=1,ifname=\Device\NPF_{EF80438C-8795-4FBD-85C5-2DB6859A0F6C}
-net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02
-net pcap,vlan=2,ifname=\Device\NPF_{078C9710-883C-4D5B-8B5D-E4233973E129}
-serial telnet::1234,server,nowait
5. Jalankan ASA-nolinna_WIN.bat
Sampai tahap ini kita tinggal menjalankan file ASA-nolina_WIN.bat. lalu akan tampil window seperti dibawah ini.
lalu jalankan command prompt dan telnet ke 127.0.0.1 port 1234.
C:\telnet 127.0.0.1 1234
Lalu jalankan perintah dibawah ini dan insya allah akhirnya akan tampil ASA prompt
#modprobe e100
#ifconfig eth0 up
#ifconfig eth1 up
#ifconfig eth2 up
#cd /mnt/disk0
#./lina_monitor
6. Setting interface Cisco ASA
Saatnya kita config sedikit, sekalian dites apakah bisa ping ke lo0,lo1, dan lo2. Eth0/0 terhubung(binding) ke lo0, Eth0/1 terhubung(binding) ke lo1, Eth0/2 terhubung(binding) ke lo2. berikut confignya
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.252 255.255.255.0
no shutdown
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.252 255.255.255.0
no shutdown
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.3.252 255.255.255.0
no shutdown
Kita coba ping dari command prompt ke ip address asa diatas.
C:\Documents and Settings\DELL>ping 192.168.1.252
Pinging 192.168.1.252 with 32 bytes of data:
Reply from 192.168.1.252: bytes=32 time=2ms TTL=255
Ping statistics for 192.168.1.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
C:\Documents and Settings\DELL>ping 192.168.2.252
Pinging 192.168.2.252 with 32 bytes of data:
Reply from 192.168.2.252: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.2.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 3ms, Average = 3ms
C:\Documents and Settings\DELL>ping 192.168.3.252
Pinging 192.168.3.252 with 32 bytes of data:
Reply from 192.168.3.252: bytes=32 time=11ms TTL=255
Ping statistics for 192.168.3.252:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 11ms, Average = 11ms
And sukses....Kita Coba dari Cisco ASA ke komputer kita.
ciscoasa# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
ciscoasa# ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa# ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ciscoasa#
7. Transfer asdm-602.BIN ke Cisco ASA.
Untuk mentrasfer image asdm ke cisco ASA bisa menggunakan beberapa cara dalam tulisan ini saya menggunakan tftp server. Download program tftp server yang linknya sudah dikasih diatas , install program, lalu taruh image asdm di tempat kamu menginstall tftp server. Lalu copy file dengan perintah :
ciscoasa# copy tftp://192.168.1.1/asdm-602.BIN disk0:/asdm-602.BIN
8. Config ASA agar bisa diakses lewat web.
ciscoasa# config terminal
ciscoasa(config)# hostname ASA1
ASA1(config)# http server enable
ASA1(config)# http 192.168.1.0 255.255.255.0 inside <---- ini adalah network yang diijinkan akses lewat web
ASA1(config)# username superlubis password superlubis privilige 15
9. Config Fiddler2
- Download dan instalasi fiddler2, cara instalasi sangat mudah tinggal next next next dan next .......
- Jalankan fiddler2 -> Tools -> Fiddler Option -> Pilih tab HTTPS -> Check box Decrypt HTTP Traffic -> OK
- Set java client agar menggunakan localhost:8888 untuk proxy semua protokol, caranya (control panel -> java -> network settings -> use proxy server localhost:8888 -> advanced -> use same proxy for all protocols
- Lalu Edit rules caranya , Rules -> Costumize Rules
* Cari function static function OnBeforeResponse(oSession: Session) , dan tambah kan if(kondisi) dibawah ini
if (oSession.url.EndsWith("/admin/exec/show+version/show+curpriv/perfmon+interval+10/show+asdm+sessions/show+firewall/show+mode/changeto+system/show+admin-context")){
oSession.utilDecodeResponse();
oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5520,');
}
if (oSession.url.EndsWith("/admin/exec/show+version")){ oSession.utilDecodeResponse(); oSession.utilReplaceInResponse('Hardware: ,','Hardware: ASA5510,'); }
* Cari function static function OnBeforeRequest(oSession: Session)
if ((oSession.url.EndsWith("/admin/asdm_handler")) || (oSession.url.EndsWith("/admin/pdm.sgz")))
{ oSession.bBufferResponse = false; }
10. Jalankan ASDM
Sebelumnya jalankan dulu fiddler2 lalu buka browser, ketik alamat https://192.168.1.252 , ignore dan accept masalah certificate , lalu akan tampil seperti dibawah ini. Lalu pilih " Run ASDM ", masukan username dan password yang sudah kita buat. Insyallah bisa jalan seperti saya...
Syslog Server (Generator)
Bagi anda yang memiliki banyak router maupun switch dan ingin menggabungkan log semua router, switch maupun server anda dapat membuat syslog server sendiri.
di linux ada ns-syslogser, di windows ada kiwi syslogserver atau anda dapat menggunakan syslog watcher di ambil di sini:
http://rs778tl3.rapidshare.com/files/125901912/8121668/Syslog.Watcher.Pro.v2.5.0.370.Cracked-iNViSiBLE.rar
untuk cisco device dapat menggunakan perintah ini untuk syncron :
service timestamps log datetime localtime
no logging console
no logging monitor
logging 192.168.1.100
ini untuk asa / pix :
logging on
logging standby
logging timestamp
logging trap notifications
logging facility 19
logging host inside 192.168.1.100
ok!!
di linux ada ns-syslogser, di windows ada kiwi syslogserver atau anda dapat menggunakan syslog watcher di ambil di sini:
http://rs778tl3.rapidshare.com/files/125901912/8121668/Syslog.Watcher.Pro.v2.5.0.370.Cracked-iNViSiBLE.rar
untuk cisco device dapat menggunakan perintah ini untuk syncron :
service timestamps log datetime localtime
no logging console
no logging monitor
logging 192.168.1.100
ini untuk asa / pix :
logging on
logging standby
logging timestamp
logging trap notifications
logging facility 19
logging host inside 192.168.1.100
ok!!
Langganan:
Postingan (Atom)