ImageVerifierCode 换一换
格式:DOCX , 页数:12 ,大小:20.41KB ,
资源ID:5683828      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bingdoc.com/d-5683828.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(asa 5505配置常用命令.docx)为本站会员(b****3)主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(发送邮件至service@bingdoc.com或直接QQ联系客服),我们立即给予删除!

asa 5505配置常用命令.docx

1、asa 5505配置常用命令 在配ASA 5505时用到的命令2009-11-22 22:49nat-control命令在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的,但是到了7.0这个规则有了变化,不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了!当你打上nat-control这个命令的时候,这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始 nat-control 是默认关闭的,关闭的时候允许没有配置NAT规则的前提下和外部主机通信,相当于路由器一样,启用NAT开关后内外网就必

2、须通过NAT转换才能通信1、定义外口interface Ethernet0/0 进入端口nameif outside 定义端口为外口security-level 0 定义安全等级为0no shut 激活端口ip address . 255.255.255.248 设置IP2、定义内口interface Ethernet0/1nameif inside 定义端口为内security-level 100 定义端口安去昂等级为100no shutip address 192.168.1.1 255.255.255.03、定义内部NAT范围。nat (inside) 1 0.0.0.0 0.0.0.0

3、 任何IP都可以NAT,可以自由设置范围。4、定义外网地址池global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240或global (outside) 1 interface 当ISP只分配给一个IP是,直接使用分配给外口的IP地址。5、设置默认路由route outside 0 0 218.17.148.14 指定下一条为IPS指定的网关地址查看NAT转换情况show xlate-一:6个基本命令: nameif、 interface、 ip address 、nat、 global、 route。二:基本配置步骤:

4、step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security507版本的配置是先进入接口再命名。step2:配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3:配置接口地址ip address outside 218.106.185.82ip address inside 192.168.

5、100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4:地址转换(必须)* 安全高的区域访问安全低的区域(即内部到外部)需NAT和global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248 nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。* 如果内部有服务器需要映射到公网地址(外网访问内网)

6、则需要static和conduit或者acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的10000为限制连接数,10为限制的半开连接数。conduit permit tcp host 222.240.254.194 eq www anyconduit permit icmp any any (这个命令在做测试期间可以配置,测试完之后要关掉,防止不必要的漏洞)ACL实现的功能和conduit一样都可实

7、现策略访问,只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。Access-list 101 permit tcp any host 222.240.254.194 eq wwwAccess-group 101 in interface outside (绑定到接口)允许任何地址到主机地址为222.240.254.194的www的tcp访问。Step5:路由定义:Route outside 0 0 222.240.254.193 1Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1如果内部网段不是直接接在防火墙内口,则需要配置

8、到内部的路由。Step6:基础配置完成,保存配置。Write memory write erase 清空配置reload-要想配置思科的防火墙得先了解这些命令:常用命令有:nameif、interface、ip address、nat、global、route、static等。global指定公网地址范围:定义地址池。Global命令的配置语法:global (if_name) nat_id ip_address-ip_address netmark global_mask其中:(if_name):表示外网接口名称,一般为outside。nat_id:建立的地址池标识(nat要引用)。ip_a

9、ddress-ip_address:表示一段ip地址范围。netmark global_mask:表示全局ip地址的网络掩码。nat地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:nat (if_name) nat_id local_ip netmark其中:(if_name):表示接口名称,一般为inside.nat_id: 表示地址池,由global命令定义。local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。netmark:表示内网ip地址的子网掩码。routeroute命令定义静态路由。语法:route (if_name) 0 0 gatew

10、ay_ip metric其中:(if_name):表示接口名称。0 0 :表示所有主机Gateway_ip:表示网关路由器的ip地址或下一跳。metric:路由花费。缺省值是1。static配置静态IP地址翻译,使内部地址与外部地址一一对应。语法:static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中:internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name表示外部网络接口,安全级别较低,如outside。outside_ip_addre

11、ss表示外部网络的公有ip地址。inside_ ip_address表示内部网络的本地ip地址。(括号内序顺是先内后外,外边的顺序是先外后内)例如:asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址*asa#conf tasa(config)# hostname asa /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。asa(

12、config)#interface GigabitEthernet0/0asa(config)#nameif outside / 名字是outsideasa(config)#securit-level 0 / 安全级别0asa(config)#ip address *.*.*.* 255.255.255.0 / 配置公网IP地址asa(config)#duplex fullasa(config)#asa(config)#no shutdown配置内网的接口,名字是inside,安全级别 100asa(config)#interface GigabitEthernet0/1asa(config)

13、#nameif insideasa(config)#securit-level 100asa(config)#duplex fullasa(config)#speed 100asa(config)#no shutdown配置DMZ的接口,名字是dmz,安全级别50asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmzasa(config)#securit-level 50asa(config)#duplex fullasa(config)#asa(config)#no shutdown网络部分设置asa(config)#na

14、t(inside) 1 192.168.1.1 255.255.255.0asa(config)#global(outside) 1 222.240.254.193 255.255.255.248asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 / 表示192.168.1.1这个地址不需要转换。直接转发出去。asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(config)#nat (inside) 1 0 0 /0 0表示转换网段中的所有地址。定义内部网络地址

15、将要翻译成的全局地址或地址范围配置静态路由asa(config)#route outside 0 0 133.0.0.2 / 设置默认路由 133.0.0.2为下一跳如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1地址转换asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ; 静态NATasa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;

16、 静态NATasa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ; 静态NAT如果内部有服务器需要映射到公网地址(外网访问内网)则需要staticasa(config)#static (inside, outside) 222.240.254.194 192.168.1.240asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 /后面的10000为限制连接数,10为限制的半开连接数ACL实现策略访问asa(config)#access-

17、list 101 permit ip any host 133.1.0.1 eq www;设置ACLasa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACLasa(config)#access-list 101 deny ip any any ; 设置ACLasa(config)#access-group 101 in interface outside ; 将ACL应用在outside端口当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。当内部主机访问中间区域dmz时,将自己映射成自己访

18、问服务器,否则内部主机将会映射成地址池的IP,到外部去找。当外部主机访问中间区域dmz时,对133.0.0.1映射成 10.65.1.101,static是双向的。PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。静态路由指示内部的主机和dmz的数据包从outside口出去。-例子:sh run: Saved:ASA Version 8.0(2)!hostname ciscoasaenable password 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif insidesecurity-level 100ip addre

19、ss 10.115.25.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 124.254.4.78 255.255.255.248!interface Ethernet0/0switchport access vlan 2!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4!interface Ethernet0/5!interface Ethernet0/6!interfac

20、e Ethernet0/7!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns domain-lookup insidedns domain-lookup outsideaccess-list 100 extended permit icmp any anyaccess-list 100 extended permit tcp any host 124.254.4.78 eq wwwaccess-list 100 extended permit tcp any host 124.254.4.78 eq smtpaccess-list 100

21、 extended permit tcp any host 124.254.4.78 eq pop3access-list 100 extended permit tcp any host 124.254.4.78 eq ftpaccess-list 100 extended permit tcp any host 124.254.4.78 eq sshaccess-list 100 extended permit tcp any host 124.254.4.78 eq pcanywhere-dataaccess-list 100 extended permit udp any host 1

22、24.254.4.78 eq pcanywhere-statusaccess-list 100 extended permit tcp any host 124.254.4.78 eq 8086access-list 100 extended permit tcp any host 124.254.4.78 eq 3389access-list 100 extended permit tcp any host 124.254.4.78 eq 2401access-list 100 extended permit ip any anyaccess-list 100 extended permit

23、 ip any host 124.254.4.78pager lines 24mtu inside 1500mtu outside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0static (inside,outside) tcp 124.254.4.78 www 10.115.25.2 www netmask 255.255.255.255static

24、(inside,outside) tcp 124.254.4.78 ftp 10.115.25.2 ftp netmask 255.255.255.255static (inside,outside) tcp 124.254.4.78 smtp 10.115.25.2 smtp netmask 255.255.255.255static (inside,outside) tcp 124.254.4.78 pop3 10.115.25.2 pop3 netmask 255.255.255.255static (inside,outside) tcp 124.254.4.78 3389 10.11

25、5.25.2 3389 netmask 255.255.255.255static (inside,outside) tcp 124.254.4.78 8086 10.115.25.2 8086 netmask 255.255.255.255static (inside,outside) 124.254.4.78 10.115.25.2 netmask 255.255.255.255access-group 100 in interface outsideroute outside 0.0.0.0 0.0.0.0 124.254.4.73 1timeout xlate 3:00:00timeo

26、ut conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absolutedynamic-access-policy-record DfltAccessPolicyno snmp-

27、server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet 10.115.25.0 255.255.255.0 insidetelnet timeout 5ssh timeout 5console timeout 0threat-detection basic-threatthreat-detection statistics access-list!class-map

28、 inspection_defaultmatch default-inspection-traffic!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinny

29、inspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:deca4473c55485d04a622b1b9fca73d8: endciscoasa#-asa 55051.配置防火墙名ciscoasa enableciscoasa# configure terminalciscoasa(config)# hostname asa5

30、5052.配置telnetasa5505(config)#telnet 192.168.1.0 255.255.255.0 inside/允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)# password cisco/远程密码asa5505(config)# enable password cisco/特权模式密码4.配置IPasa5505(config)# interface vlan 2/进入vlan2asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192/vlan2配置IPasa5505(config)#show ip address vlan2/验证配置5.端口加入vlan

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2