二维码

cisco ASA5510配置实例

1532 人阅读 | 时间:2018年12月04日 14:56

cisco ASA5510配置实例

2008年11月11日 07:52

ASA5510# SHOW RUN

: Saved

:

ASA Version 7.0(6)

!

hostname ASA5510

enable password 2KFQnbNIdI.2KYOU encrypted

names

dns-guard

!

interface Ethernet0/0 此接口为外部网络接口

nameif outside 设置为 OUTSIDE 外部接口模式

security-level 0 外部接口模式安全级别为最低 0

ip address 192.168.3.234 255.255.255.0 添加外部IP地址 (一般为电信/网通提供)

!

interface Ethernet0/1此接口为内部网络接口

nameif inside设置为 INSIDE 内部接口模式

security-level 100内部接口模式安全级别最高为 100

ip address 10.1.1.1 255.255.0.0添加内部IP地址

!

interface Ethernet0/2 没用到

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0 没用,用网线连接管理的端口。

management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

no asdm history enable

arp timeout 14400

global (outside) 1 interface 一定要打表示 PAT端口扩展:“1”为其NAT ID

nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址

route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 缺省路由

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable 打开http server

http 192.168.1.0 255.255.255.0 management 限定能通过http方式访问防火墙的机器

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围 为10.1.1.30-200

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd dns 192.168.0.1 DNS 添加:可以是电信网通提供 直接添加,或者自己的DNS服务器地址。

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd domain suzhou.jy 域名

dhcpd enable inside 打开内部网段自动分配

dhcpd enable management

Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4

access-group icmp_in in interface outside 这两句表示,

access-list icmp_in extended permit icmp any any 允许PING包发送或接收

: end



关于CISCO asa5510防火墙端口映射配置

2009-05-21 14:18

先进思科防火墙,telnet 192.168.1.254

输入密码:

系统变成ciscoasa>

再输入en回车后

再次输入密码

系统变成ciscoasa#这个时候输入show running-config回车后

可以看到端口E0/0配的外网地址是多少,e0/配的内网地址是多少,和没有配的端口地址。还能看见访问列表access-list。再往下看可以看到具体的网络映射地址。可以看到公网地址的那个端口具体映射到内网地址的那个端口。

回到

ciscoasa# 

后在里面输入conf t回车后变成

ciscoasa(config)#在到端口里面,再输入int e0/0命令后就到e0/0端口命令下面状态就变成

ciscoasa(config-if)#在此状态下再次输入

static (inside,outside) tcp 125.76.115.136 5222 192.168.1.132 5222 netmask 255.255.255.255

意思就是公网的5222端口映射到内网的192.168.1.132 的5222端口下面.这个时候命令符又变回

ciscoasa(config)#这个状态。这个时候你再次输入sh ru回车后就能看到自己编辑的端口映射了。然后再次做个访问列表。在

ciscoasa(config)#下面输入access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222

这个时候你就可以把内网的地址的5222端口映射到公网去了再输入wr写入并保存后,在输入exit就可以退出了

如果端口映射错了,也可以删除掉,具体做法是

在ciscoasa(config)#模式下输入no access-list outside-inside extended permit tcp any host 125.76.115.136 eq 5222就可以先将地址列表中的5222端口删除掉

再到ciscoasa(config)#进入e0/0端口下面输入 int e0/0模式就变成e0/0端口编辑状态下


cisco asa(asa5510 设置)防火墙的配置详解

2010-02-08 10:02

asa5510(config)#

asa5510(config)# show run

: Saved

:

ASA Version 7.0(7) 

!

hostname asa5510 主机名

domain-name 1cisco.com.cn 域名

enable password FgQ836L.2fG/AEir encrypted ASDM的登陆密码

names

dns-guard

!

interface Ethernet0/0 外部接口

nameif outside 接口名

security-level 0

ip address X.X.X.X 255.255.255.248 IP地址

!

interface Ethernet0/1内部接口

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0 ip地址,内部电脑的网关

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

interface Management0/0

nameif management

security-level 100

ip address 1.1.1.1 255.255.255.0 

management-only 管理接口 可以关闭 默认192.168.1.1 

!

passwd WXjstPgDOxFTLAaA encrypted 

ftp mode passive


object-group network Public 定义一个IP组 组名为Public (做ACL的时候可以方便减少ACL条目、这里做的是IP组,其实还可以基于服务来做个组,)

network-object host 192.168.1.2定义组内的IP 

network-object host 192.168.1.3

network-object host 192.168.1.4

network-object host 192.168.1.5

network-object host 192.168.1.6

network-object host 192.168.1.7 这些组里的IP在后面将被引用

access-list 102 extended permit icmp any any 

access-list 102 extended permit ip any any 定义ACl

access-list 111 extended permit ip host 192.168.1.16 any 

access-list 111 extended permit ip object-group Public any 定义ACL 注意这里的源地址引用的是一个我们前面定义的地址组,

access-list 111 extended deny ip any any 这里是拒绝所有,大家应该知道我的ACL的意思了吧 ,拒绝所有人上网。上面允许的除外

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

asdm image disk0:/asdm-507.bin 指定ASDM路径,开启ASDM的命令之一,至于ASDM版本,大家可以DIR的命令来查看到,

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 nAT转换,吧内部接口的所有IP转换到外部的公网IP,让所有内部IP可以上网,

access-group 102 in interface outside

access-group 111 in interface inside 这2个是引用前面定义的ACL一个外部接口一个内部接口 如果没和我一样的只允许部分IP上网的需求的 可以不要INSIDE的ACL以及ACL 111的条目

route outside 0.0.0.0 0.0.0.0 xx.x.x.x 1外部的默认路由 x.x.x.x为公网的网关

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

username cisco1 password W0ATeFBkCO3ErmVn encrypted privilege 15(asdm SSH登陆用户名和密码)

aaa authentication ssh console LOCAL (SSH 登陆启用本地认证,就是上面的cisco1)

http server enable(激活ASDM) 

http 0.0.0.0 0.0.0.0 outside

http 0.0.0.0 0.0.0.0 inside(在外部和内部借口上启用ASDM)


no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet 0.0.0.0 0.0.0.0 inside启用内部的TELNET

telnet timeout 5

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside(起用内部和外部接口的SSH)

ssh timeout 30 

ssh version 2 SSH版本2

console timeout 0


!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

inspect dns maximum-length 512 

inspect ftp 

inspect h323 h225 

inspect h323 ras 

inspect rsh 

inspect rtsp 

inspect esmtp 

inspect sqlnet 

inspect skinny 

inspect sunrpc 

inspect xdmcp 

inspect sip 

inspect netbios 

inspect tftp 

!

service-policy global_policy global

Cryptochecksum:5ee69c74afd48da59841097fe14670ad

: end


ASA 5510 基本配置

caihuashe# show version 

Cisco Adaptive Security Appliance Software Version 7.2(3) 

Detected an old ASDM version. 

You will need to upgrade it before using ASDM.

Compiled on Wed 15-Aug-07 16:08 by builders

System image file is "disk0:/asa723-k8.bin"

Config file at boot was "startup-config"

caihuashe up 358 days 0 hours

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz

Internal ATA Compact Flash, 256MB

BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)

                             Boot microcode   : CNlite-MC-Boot-Cisco-1.2

                             SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03

                             IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.04

 0: Ext: Ethernet0/0         : address is 001d.70df.2cfc, irq 9

 1: Ext: Ethernet0/1         : address is 001d.70df.2cfd, irq 9

 2: Ext: Ethernet0/2         : address is 001d.70df.2cfe, irq 9

 3: Ext: Ethernet0/3         : address is 001d.70df.2cff, irq 9

 4: Ext: Management0/0       : address is 001d.70df.2d00, irq 11

 5: Int: Not used            : irq 11

 6: Int: Not used            : irq 5

Licensed features for this platform:

Maximum Physical Interfaces : Unlimited 

Maximum VLANs               : 100       

Inside Hosts                : Unlimited 

Failover                    : Active/Active

VPN-DES                     : Enabled   

VPN-3DES-AES                : Enabled   

Security Contexts           : 2         

GTP/GPRS                    : Disabled  

VPN Peers                   : 250       

WebVPN Peers                : 2         

This platform has an ASA 5510 Security Plus license.

        从上面的硬件和ios,其实硬件配置并不高档,比我们用的普通电脑的档次低多了,我觉得其关键在于其稳定性好、ios系统强;现在市面上也出现一些网友用自己旧PC组装的防火墙,功能和性能也不错,如M0N0、pfsense等;

        1.首先配置防火墙的端口 一般会配置两个端口 一个inside口 一个outside口,asa5510有4个网络口,我们可随便使用那个口来设置inside口和outside口,关键在在于配置端口上面来确定是怎样的出口;

  interface Ethernet0/0

 speed 100

 duplex full

 nameif outside  设置外网口

 security-level 0 安全级别0-100 

 ip address 192.168.55.2 255.255.255.252 

!

interface Ethernet0/1

 nameif inside 设置内网口

 security-level 100 安全级别最高100 

 ip address 192.168.3.1 255.255.255.0 

!

       2.配置基本的访问策略;

 access-group WAN_access_in in interface outside   定义外网口访问策略群组

 access-group IN_access_WAN in interface inside    定义内网口访问策略群组

access-list IN_access_WAN extended permit ip 192.168.9.0 255.255.255.0 any   增加内网口出去的访问策略

access-list IN_access_WAN extended permit tcp 192.168.9.0 255.255.255.0 any 增加内网口出去的访问策略

access-list WAN_access_in extended permit tcp host 222.66.97.193 host 202.104.151.* eq 8317  增加一般的主机访问策略,允许ip 222.66.97.193  访问ip 202.104.151.* eq 8317  

     3.配置nat 

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) 58.251.130.* 192.168.9.50 netmask 255.255.255.255  一对一NAT

static (inside,outside) 58.251.130.* 192.168.9.52 netmask 255.255.255.255 

static (inside,outside) 58.251.130.* 192.168.9.53 netmask 255.255.255.255 

     4.配置默认网关  也就是默认路由

route outside 0.0.0.0 0.0.0.0 10.90.22.1 1


取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

©著作权归作者所有:来自ZhiKuGroup博客作者没文化的原创作品,如需转载,请注明出处,否则将追究法律责任 来源:ZhiKuGroup博客,欢迎分享。

评论专区
  • 昵 称必填
  • 邮 箱选填
  • 网 址选填
◎已有 0 人评论
相关文章
搜索
作者介绍
superadmin

superadmin

30天热门
热评文章
最近发表
标签列表

©2012-2022 Think tank 鄂ICP备19030179号-1| 使用Chrome浏览本站最佳 | 声明:本站的文章和资源来自互联网或者站长的原创,按照 CC BY -NC -SA 3.0 CN协议发布和共享,转载或引用本站文章<应遵循相同协议。如果有侵犯版权的资源请尽快联系站长,我们会在24h内删除有争议的资源;本站所有收费以及免费的信息和数据仅供参考,不构成投资建议,本网站不承担由此导致的任何责任。 登陆

Powered By Z-BlogPHP

×
×
关闭广告
关闭广告
本站会员尊享VIP特权,现在就加入我们吧!登录注册×
»
会员登录
新用户注册
×
会员注册
已有账号登录
×