Руки дошли: продолжаем про ASA

    Начнем, пожалуй, с базовых настроек интерфейсов и маршрутизации, а также настройки подключений для удаленного администрирования

    Настройка интерфейсов

    Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.


    В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень безопасности (security-level), имя интерфейса, а также интерфейс надо принудительно «поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено администратором». (Исключения бывают: иногда АСАшки приходят уже преднастроенными. Это характерно для модели 5505. В этом случае, как правило, внутренний интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает DHCP сервер, задан статический адрес из сети 192.168.1.0/24, внешний интерфейс с названием outside тоже поднят и сам получает адрес по DHCP и настроена трансляция адресов из сети за интерфейсом inside в адрес интерфейса outside. Получается такой plug-n-play :))

       
    int g0/0
      ip address {адрес} {маска}
      security-level {number}
      nameif {имя}
      no shutdown
    

    Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется качественно, а не количественно, т.е. важно только отношение «больше-меньше». По умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно пропускаются только ответы по этим сессиям. Трафик же идущий «внутрь» по умолчанию запрещен.

    Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим» (inside, outside, dmz, partner и т.д.). По идее, как утверждает сама cisco, имя не зависит от регистра, (не case sensitive), однако на практике ряд команд требует соблюдения регистра, что довольно неудобно. Характерный пример: применение crypto map на интерфейс требует точного написания названия интерфейса. Название интерфейса продолжается нажатием кнопки TAB, т.е. можно набрать начало названия и табулятором продолжить его до конца, если набранное начало однозначно идентифицирует интерфейс.

    Такая настройка интерфейсов характерна для всех моделей ASA, кроме ASA 5505. В модели 5505 реализован встроенный 8мипортовый L2/L3 коммутатор. IP адреса в модели 5505 задаются на логических интерфейсах

    interface vlan {#}
      ip address {адрес} {маска}
      security-level {number}
      nameif {имя}
      no shutdown
    

    Сами же физические интерфейсы L2 сопоставляются VLANам.

    interface f0/0
      switchport access vlan {#}
    

    Таким образом, межсетевое экранирование возникает между логическими interface vlan.
    Как правило, уровень безопасности интерфейсов подбирается таким образом, чтобы максимально соответствовать логической топологии сети. Сама топология представляет из себя зоны безопасности и правила взаимодействия между ними. Классической схемой считается присвоение разным интерфейсам разных уровней безопасности.
    Никто не запрещает сделать уровень безопасности на разных интерфейсах одинаковым, однако по умолчанию обмен трафиком между такими интерфейсами запрещен. Такой трафик можно сознательно разрешить, дав команду

      same-security-traffic permit inter-interface
    

    Однако надо понимать, что между интерфейсами с одинаковым уровнем безопасности не возникает межсетевого экранирования, а только маршрутизация. Поэтому такой подход применяется для интерфейсов, относящихся к одной и той же логической зоне безопасноcти (например, 2 локальные сети пользователей, объединяемые при помощи ASA)

    Маршрутизация

    Ну куда же без неё! Как у любого маршрутизатора (ASA тоже им является, т.к. использует таблицу маршрутизации для передачи пакетов) сети, настроенные на интерфейсах, автоматически попадают в таблицу маршрутизации с пометкой «Присоединенные» (connected), правда при условии, что сам интерфейс находится в состоянии «up». Маршрутизация пакетов между этими сетями производится автоматически.
    Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя команду

      route {interface} {network} {mask} {next-hop} [{administrative distance}] [track {#}]
    

    Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого поиска (в отличие от обычного маршрутизатора cisco). Напоминаю, что в таблицу маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим маршрутизаторов, где может использоваться до 16 параллельных путей.
    Маршрут по умолчанию задается таким же образом

      route {interface} 0.0.0.0 0.0.0.0 {next-hop}
    

    Если ASA не имеет записи в таблице маршрутизации о сети назначения пакета, она пакет отбрасывает.

    Если возникает задача сделать запасной статический маршрут, который будет работать только при пропадании основного, то это решается указанием так называемой Административной дистанции маршрута. Это такое число от 0 до 255, которое указывает, насколько хорош метод выбора маршрута. Например, статическим маршрутам по умолчанию сопоставлена AD 1, EIGRP – 90, OSPF – 110, RIP – 120. Можно явно указать AD для запасного маршрута больше, чем AD основного. Например:

      route outside 0.0.0.0 0.0.0.0 {next-hop} 1
      route backup 0.0.0.0 0.0.0.0 {next-hop_backup} 210
    

    Но в этой ситуации есть один важный вопрос: как заставить «пропасть» основной маршрут? Если физически упал интерфейс все очевидно – само получится, а если интерфейс поднят, а провайдер погиб? Это очень распространенная ситуация, учитывая, что на ASA сплошной ethernet, который физически падает крайне редко.

    Для решения этой задачки используется технология SLA. Она весьма развита на классических маршрутизаторах, а на ASA с версии 7.2 внедрили только самый простой механизм: доступность некоторого хоста по протоколу icmp. Для этого создается такая «пинговалка» (sla monitor)

      sla monitor {#}
        type echo protocol ipIcmpEcho {ip адрес} interface {интерфейс}
    

    Далее, её необходимо запустить, указав время начала (есть возможность запустить «сейчас») и окончания работы (можно задать работу до бесконечности)

      sla monitor schedule {#} start now life forever
    

    Но и это ещё не все. Надо создать «переключатель» (track) который будет отслеживать состояние «пинговалки».

      track {track #} rtr {sla #} reachability
    

    Не спрашивайте, почему привязка пинговалки производится ключевым словом rtr – это ошметки несогласованности настроек на маршрутизаторах cisco. К слову, на самих маршрутизаторах такое несоответствие уже починили, а вот на ASA ещё нет.
    И вот теперь все готово, чтобы применить эту конструкцию к статической маршрутизации

      route outside 0 0 {next-hop_outside} track {#}
      route backup 0 0 {next-hop_backup} 210
    

    Теперь, пока пингуемый хост доступен, track будет в поднятом (чуть не написал в «приподнятом» :)) состоянии и основной маршрут будет в таблице маршрутизации, но как только связь пропадет, через заданное количество потерянных пакетов (по умолчанию пакеты посылаются раз в 10 секунд и ждем пропадания трех пакетов) track будет переведен в состояние down и основной маршрут пропадет из таблицы маршрутизации, а пакеты будут отправляться по запасному пути.

    Приведу пример конфига двух дефолтных маршрутов через разных провайдеров с проверкой доступности основного провайдера:

      sla monitor 1
        type echo protocol ipIcmpEcho 1.1.1.1 interface outside
      sla monitor schedule 1 start now life forever
      track 11 rtr 1 reachability
      route outside 0 0 1.1.1.1 track 11
      route backup 0 0 2.2.2.1 210
    

    Динамическая маршрутизация на ASA возможна по протоколам RIPv1,2, OSPF, EIGRP. Настройка этих протоколов на ASA очень похожа на настройку маршрутизаторов cisco. Пока динамической маршрутизации касаться в этих публикациях не буду, хотя если дойдут руки и будет интерес – напишу отдельную главу.

    Удаленное управление

    Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами. Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления.
    Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd:

      telnet 192.168.1.128 255.255.255.128 inside
      telnet 192.168.1.254 255.255.255.255 inside
      passwd {пароль}
    

    В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
    Более безопасный доступ к командной строке обеспечивается протоколом ssh. Однако, для обеспечения доступа по ssh кроме явного указания того, с каких хостов можно заходить для управления, необходимо также задать RSA ключи, необходимые для шифрования данных о пользователе. По умолчанию для подключения по ssh используется пользователь pix и пароль, задаваемый командой passwd (пароль на telnet).

      ! Задаем имя домена
      domain name {имя}
      !
      ! Желательно задать недефолтовое имя хоста
      hostname {имя}
      !
      ! После этого можно сгенерировать ключи
      crypto key generate rsa 
      !
      ! Разрешаем ssh
      ssh 192.168.1.128 255.255.255.128 inside
      ssh 1.2.3.4 255.255.255.255 outside
      passwd {пароль}
    

    Как правило, на ASA начиная с версии 7.2 имя домена уже задано (domain.invalid) и дефолтные ключи сгенерированы, однако как минимум это надо проверить

      show crypto key mypubkey rsa
    

    Наличие хотя бы каких то ключей RSA уже позволяет работать по ssh. Но можно дополнительно создать и недефолтовые ключевые пары. Для этого надо указать явно имя ключевой пары

      crypto key generate rsa label {имя пары} 
    

    Чтобы удалить ключевую пару (или все пары) используется команда

      crypto key zeroize rsa [label {имя пары}] 
    

    Совет: после любых действий с ключевыми парами (создание, удаление) обязательно сохраняйтесь. Для этого можно использовать стандартные команды cisco

      copy running-config startup-config
      write memory
    

    или короткий вариант последней команды

        wr 
    

    Также ASA предоставляет крайне популярный метод настройки с использованием веб-броузера. Этот метод называется ASDM (Adaptive Security Device Manager). Для доступа используется безопасный протокол https. Обеспечение доступа настраивается очень похоже на настройку ssh: необходимо выработать или убедиться в наличии дефолтовых RSA ключей и указать, откуда можно подключаться.

      domain name {имя}
      hostname {имя}
      crypto key generate rsa
      ! Включаем сам https сервер, по умолчанию часто включен. При включении 
      ! генерирует самоподписанный сертификат.
      http server enable 
      ! Разрешаем https
      http 192.168.1.128 255.255.255.128 inside
      http 1.2.3.4 255.255.255.255 outside
    

    Если больше ничего не настраивать, то доступ будет обеспечен без указания пользователя. Если же был указан пароль на привилегированный режим

      enable password {пароль}
    

    то при подключении надо в качестве пароля указывать именно его, не указывая пользователя.
    Надо проверить, что во флеше ASA лежит файл ASDM, соответствующий используемой ОС.

      dir flash:
      show flash
    

    При работе с ASDM используется java и верно следующее: если вы используете ОС версии 7.Х, то ASDM нужен версии 5.Х и java 1.5. Если же используется ОС 8.Х, то ASDM нужен версии 6.Х и java версии 1.6. К чести разработчиков и радости настройщиков, ASDM версии 6 работает не в пример лучше и быстрее версии 5.Х. Чья тут заслуга: java или cisco или обоих – не знаю.

    Возникает резонный вопрос: а если хочется использовать не дефолтовые правила доступа, а явно указывать, откуда брать пользователя? Для этого используются команды (console — ключевое слово)

      aaa authentication telnet console {имя AAA сервера} [LOCAL]
      aaa authentication ssh console {имя AAA сервера} [LOCAL]
      aaa authentication http console {имя AAA сервера} [LOCAL]
    

    Если используется только локальная база данных пользователей, то в правиле аутентификации можно указывать только LOCAL (проверьте, что хотя бы один пользователь создан, иначе можно себе заблокировать доступ), а если требуется использовать внешние базы, доступные по протоколам TACACS+, RADIUS или LDAP, то такие сервера надо предварительно настроить

      aaa-server {имя AAA сервера} protocol {tacacs|radius|ldap}
      aaa-server {имя AAA сервера} ({interface}) host {ip}
        key {ключ}
        ! и другие команды, специфичные для данного типа сервера
    

    Локальная база пользователей задается командой

      user {пользователь} password {пароль} [privilege #]
    

    Доступ по ASDM возможен только от имени пользователя с уровнем привилегий 15 (максимальный, означает, что пользователю можно все настраивать)
    Также локальным пользователям можно задать ряд атрибутов, используя команду

      user {пользователь} attributes
        ! различные атрибуты пользователя
    

    Завершая эту часть приведу кусочек конфига. В нем настроено 2 интерфейса (в данном случае это gigabitethernet 0/0 и 0/1, однако на разных платформах это могут быть и другие физические интерфейсы), inside и outside, дефолтный маршрут, разрешен удаленный доступ по ssh и https ото всюду, при этом
    аутентификация использует локальную базу данных пользователей.

    hostname MyAsa
    !
    domain name anticisco.ru
    !
    interface g0/0
      nameif outside
      security-level 0
      ip address 1.1.1.2 255.255.255.252
      no shut
    !
    int g0/1
      nameif inside
      security-level 100
      ip address 10.1.1.1 255.255.255.0
      no shut
    !
    ! на ASA запись 0.0.0.0 можно сократить до 0
    !
    route outside 0 0 1.1.1.1
    !
    username admin password cisco privilege 15
    !
    ssh 0 0 inside
    ssh 0 0 outside
    !
    http 0 0 inside
    http 0 0 outside
    !
    aaa authentication ssh console LOCAL
    aaa authentication http console LOCAL
    

    Используя такие настройки вы разрешите пакетам ходить из непосредственно присоединенной сети за интерфейсом inside наружу. Снаружи будут приходить только ответы по сессиям (tcp и udp), открытым изнутри, т.к. напомню по умолчанию трафик идущий «внутрь» весь запрещен. Как его разрешить поговорим в следующей части.

    Списки доступа (продолжение следует)
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 32

      0
      5cents
      " route {interface} 0.0.0.0 0.0.0.0 {next-hop}"
      чего не хватает в IOS, и что есть в АСЕ можно: дефолт через route 0 0 instead of 0.0.0.0 0.0.0.0
        0
        Там есть ремарка про 0.0.0.0

          ! на ASA запись 0.0.0.0 можно сократить до 0
        
        0
        По поводу SLA монитора — еще надо было бы описать каким образом будут меняться правила NAT и файрвола при переключении на другой линк. Насколько я помню на роутерах надо было париться с роут-мапами. Как это реализовно на ASA?
          0
          На АСА в этом смысле все просто: идем через другой интерфейс — используем другие правила трансляции. Как осилю списки доступа (там довольно просто и мало), так приступлю к НАТу — там есть о чем написать :)
          0
          Вопрос к компетентным товарищам: АСА, насколько я понял, не умеет делать заворот HTTP траффика на прокси-сервер? Я читал про WCCP, но его у меня прокси не поддерживает.
            0
            А меня больше stateful firewall интересует ;)
            Что там такого stateful. Пока я вижу аналог рефлексивных acl на ios-ах.

            В любом случае спасибо автору. Будем ждать продолжения!
              0
              Терпение! Планов громадье, но я жутко ленивый :)

              От рефлексивных ACL staful firewall очень далеко ушел. Обязательно расскажу.
              0
              ...: продолжаем про ASA
              А можно ссылку на начало или серию?
                0
                А собственно, если выйти в корень этого блога то буквально предыдущий пост и есть начало. Называется "… чего она не умеет..."
                  0
                  Извините, просто зашол с главной.
                  Я своих индусов уже два месяца долблю поднять мне SSL VPN, ибо Cisco VPN Client под x64 OS нет и не планируется.
                    0
                    Поднять SSLVPN можно двумя командами :)

                    Вопрос в политике безопасности и прочей шняге.

                    А так

                    webvpn
                      enable outside
                    


                    :)
                      0
                      Вот именно в политике безопасности. Офис в Орегоне имеет полномочия самим настроить, вот они уже пользуются, а я с буком на х64 мучаюсь на XP Mode.
                0
                Лол, а что такое по-вашему «Аппаратный межсетевой экран»? и чем он отличается от ПК с флешкой?
                судя по табличке в википедии, начинка Cisco ASA НИЧЕМ не отличается en.wikipedia.org/wiki/Cisco_ASA
                  0
                  С каким оборудованием сетевым вам довелось поработать?

                  Аппаратный от программного отличается количеством операций, выполняемых процессором. На АСА реализовано несколько механизмов эффективной обработки именно сессий с разбивкой по зонам безопасности. И алгоритмы оптимизированы именно под эти задачи: межсетевое экранирование.

                  А так да, АСА — писюк с линуксом, этого никто не скрывает. Жду примеров оригинального сетевого железа :)
                  0
                  А что сразу на личности?

                  Просто хотел уточнить, что именно вы (да и многие другие) вкладывают в термин «аппаратный маршрутизатор». Чем он отличается от программного, если никаких особенных железок в нем нет.

                  Ну вот, допустим, разбирая некоторые маршутизаторы, я заметил, что в сетевых платах используются микросхемы ПЛИС Xlinix. Точно не могу гарантировать, но учитывая, что процессор 100Mhz без напряга прокачивал 100 мбит между vlan-ами в один tcp-поток, очевидно бОльшую часть перетасовки пакетов эти микросхемы выполняют сами без участия процессора. Думаю, такого типа модулей у циски очень много. Пожалуй, это пооригинальнее ПК и такой маршрутизатор можно назвать аппаратным.

                  Но как можно обзывать ASA аппаратным, заранее зная, что внутри просто линукс на целероне?
                    0
                    А где вы усмотрели переход на личности?

                    Я хотел уточнить ваш опыт, чтобы привести адекватные примеры. Ведь заранее я не знаю собеседника.

                    Так что прошу не принимать близко к сердцу.

                    В данном случае, под «аппаратным» подразумевается спец.выделенная железяка с софтом, специально заточенным под выполнение неких узкоспециализированных задач. Использующая дополнительные пулы и очереди в памяти для ускорения обработки проходящих сессий.
                      0
                      Какое-то неправильное абсурдное определение, не находите?
                      Очевидно «аппаратный» противопоставляется «программному».
                      Давайте сойдемся на том, что на самом деле «вот то, что в синей коробочке — аппаратный, а то, что покупается на CD для установки на ПК — программный».
                      Говорите так на курсах и вас будут любить за честность :)

                      Забавно то, что с подачи таких инструкторов, люди даже наделяют синие коробочки какими-то волшебными качествами, хотя совершенно очевидно, что ПК с бОльшей тактовой частотой и хорошими сетевыми адаптерами, потенциально производительнее.
                        0
                        Проблема в том, что ПК с большей тактовой частотой и хорошими сетевыми адаптерами всего лишь ПК. А ASA — это программно-аппаратная платформа со всеми вытекающими.
                        То есть уже настроенная совокупность железа и софта для достижения необходимой цели.
                        ASA5505 — вероятно да, насквозь софтовый firewall. (хотя маршрутизаторы тоже насквозь софтовые, на мой взгляд. Dynamips это неплохо подтверждает)
                        Но на более старших ASA есть криптоускоритель (а может еще что-то что ставится в плату расширения). Так что не все так плохо.
                          0
                          Cнова здорово :)
                          А какой же part-number у этого криптоускорителя для cisco asa? Я не нашел ничего. Думаю, его просто не существует.
                            0
                            А почему Вы не ищете парт-намберов на конденсаторы на материнской плате?
                            Парт-намбер означает лишь возможность купить отдельно эту запчасть.
                        0
                        Кто то кажется ратовл за непереход на личности? :)
                        ___________________________________
                        Говорите так на курсах и вас будут любить за честность :)

                        Забавно то, что с подачи таких инструкторов…
                        ___________________________________

                        Наверно вы у меня учились и невзлюбили за ложь :) Тогда давайте в личке побеседуем :)

                        Если же нет, то странны такие заявления. Даже на хабре есть люди, которые у меня учились: можно их спросить про честность :) и вообще про любовь :) Вы ведь не знаете заранее, любят меня, презирают, или вовсе снисходительно игнорируют, верно?

                        Про холивар: софт-хард… Я высказал свою точку зрения. Для меня многократно важнее, насколько устойчиво и качественно работает устройство (не комп, обученный, а специально сделанное устройство), насколько выполняет заявленные функции и насколько заявленные физические характеристики соответствуют реальности.

                        Приведу пример: берем комп, устанавливаем на него QEMU (линукс). Запускаем на нем OC ASA 8.0.2. Комп многократно производительнее самой АСЫ. Однако выполнить тоже количество операций не может. Спрашивается, почему?

                        ЗЫ Если вас устроит такое определение: софтварное решение, это решение, не зависящее от платформы и выполняющее ряд операций, где озвучен только функционал, но не производительность. И никто не гарантирует увеличение производительности при улучшении платформы (например, потому что софт… скажем, не поддерживает многоядерность или многопотоковость). Хардварное решение: это симбиоз конкретной железки (сервера), ОС, и софта, написанного специально для выполнения некоторых операций ЭТИМ сервером. При этом на платформе сервера могут быть какие то специальные улучшайзеры хардварные (или возможность их установки) и софт умеет с ними работать для увеличения производительности.

                        Чудес от железа ждать не стоит. А что реально надо ждать — это заявленное производителем. Впрочем, об этом я уже говорил. Циска, за исключением некоторых моментов, удовлетворяет требованиям по отказам и глюкам даже самому высокому уровню требований.

                          0
                          Определение ОК.
                          А эксперимент, по-моему, нечестный: нельзя же эмуляцию сравнивать со специальной программой.
                          Тот, кто пытался это делать, оставил ссылки на результаты?
                          Скорее всего, qemu не в состоянии эмулировать специальное поведение сетевых интерфейсов — в линуксе они называют это NAPI.
                            0
                            Понятно, что нечестный :)

                            Но если бы все было так просто: бери другую платформу, лей софт и вуа-ля! Так нет же.
                            QEMU загружает прямо ОС АСЫ и её основной модуль. Но не работает так же.

                            ЗЫ Рад, что определение понравилось. Глядишь, и слушатели начнут любить ;)
                              0
                              Ну с pix-ом так и делали. Погуглите «frankenpix». Интересная штука.
                                0
                                Ну с пиксом было все совсем просто :)

                                Тут и гуглить не надо: сами делали для лабы. И все равно, пикс как железка с софтом (при его смешных физических данных) работал лучше, чем его же софт, запущенный на компе.
                                  0
                                  За счет чего лучше? Cовершенно непонятно.
                                  Сетевые карты были идентичные? Производительность VPN, надеюсь, не сравнивали?
                                    0
                                    Не подвисал при большом количестве одновременно открывающихся сессий, корректно отрабатывал SYN Cookie. Это то, что сразу вспомнилось. Я пиксы уже давно не мучал — есть другие точки приложения сил :)

                                    Да и вообще, я больше по настройкам стараюсь специализироваться. Криворукий админ может убить любую самую шоколадную железку :)
                                      0
                                      Это же нелогично. Значит железо чем-то отличалось.
                                      Не может же синяя краска влиять на стабильность обработки syn cookie :)
                                        0
                                        По мне так она зеленая :)

                                        Я тогда не ставил задачу разобраться, почему так. И сейчас не буду. И спорить не буду. Неэффективно это.

                                        Тогда было важно собрать стенд и потестить топологию. С той задачей справились.
                    0
                    Как получить 15ый уровень привелегий без пароля enable:

                    kpoxa@asa's password:
                    Type help or '?' for a list of available commands.
                    fw1>
                    fw1> login
                    Username: kpoxa
                    Password: ******
                    fw1# sh run | in kpoxa
                    username kpoxa password ********* encrypted privilege 15

                    Довольно неочевидный вариант, наверное где-то и документированный.

                      0
                      Почему не очевидный и не документированный?

                      Как раз способ очевидный. ПРосто по умолчанию на АСА поднят логин сервер на вход в enable (то, что на рутерах надо явно описывать)

                      Мало того, есть… эээ… мягко говоря, дырка конфигурационная:
                      если вы создаете юзера по умолчанию, то ему задается 2 уровень привилегий.
                      Если вы под ним зайдете тем же способом (login вместо enable) сможете пронаблюдать много интересного, если не принять мер :)

                      Я поэтому либо пользователю ( не админу) говорю no-exec в атрибутах, либо privilege 0

                    Only users with full accounts can post comments. Log in, please.