Packet Tracer - Configuring ASA Basic Settings and Firewall Using CLI

已于 2024-02-15 13:19:59 修改
阅读量1k 收藏 29
点赞数 21
分类专栏: CCNA思科实验 文章标签: 网络 服务器 运维 笔记 智能路由器 网络安全 计算机网络
于 2024-02-15 13:19:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YueXuan_521/article/details/135426305
版权

Packet Tracer - 使用CLI配置ASA基本设置和防火墙

IP地址表

在这里插入图片描述

目标

  • 验证连接并探索ASA设备
  • 使用CLI配置ASA的基本设置和接口安全级别
  • 使用CLI配置路由、地址转换和检查策略
  • 配置DHCP、AAA和SSH服务
  • 配置DMZ区域、静态NAT和访问控制列表(ACL)

场景

您的公司有一个地点通过ISP进行互联网接入。R1代表由ISP管理的CPE设备。R2代表一个互联网路由器中继节点。R3代表一个ISP,它连接着一家网络管理公司的管理员,该管理员受雇远程管理您的网络。ASA是一个边缘CPE安全设备,将内部企业网络和DMZ区域连接到ISP,并为内部主机提供NAT和DHCP服务。ASA将被配置以允许内部网络的管理员以及远程管理员对其进行管理。三层VLAN接口提供了对活动中创建的三个区域——Inside区域、Outside区域和DMZ区域的访问权限。ISP分配了公共IP地址空间209.165.200.224/29,将在ASA上用于地址转换。

所有路由器和交换机设备已预先配置以下信息:

  • 启用密码:ciscoenpa55
  • 控制台密码:ciscoconpa55
  • 管理员用户名及密码:admin/adminpa55

注意:此Packet Tracer活动并不能替代ASA实验室练习。这个活动提供了额外的实践机会,模拟了大部分ASA 5505设备的配置过程。与真实的ASA 5505相比,在命令输出或部分尚未在Packet Tracer中支持的命令上可能存在细微差别。

第一部分:验证连接和探索ASA设备

注:此Packet Tracer活动开始时,有20%的评估项已被标记为已完成。这是为了确保您不会意外更改ASA的某些默认值。例如,默认情况下内部接口名称为“inside”,不应更改。点击“检查结果”查看哪些评估项已经被正确评分。

步骤1:验证网络连接性。

目前ASA尚未配置,但所有路由器、PC以及DMZ服务器都已配置完毕。请确认PC-C可以ping通任何路由器接口。请注意,此时PC-C无法ping通ASA、PC-B或DMZ服务器。

步骤2:确定ASA版本、接口及许可证信息。

使用show version命令来了解ASA设备的各种特性。

步骤3:确定文件系统及其闪存内存内容。

a. 进入特权EXEC模式。当前未设置密码,当提示输入密码时直接按回车键。

b. 使用show file system命令显示ASA的文件系统,并确定支持哪些前缀。

c. 使用show flash:show disk0: 命令来显示闪存内存的内容。

第二部分:使用CLI配置ASA设置和接口安全

提示:许多ASA CLI命令与Cisco IOS CLI中的命令相似,甚至相同。此外,在不同配置模式及子模式之间切换的过程本质上是相同的。

步骤1:配置主机名和域名。

a. 配置ASA主机名为CCNAS-ASA

b. 配置域名为ccnasecurity.com

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#domain-name ccnasecurity.com

步骤2:配置启用模式密码。

使用enable password命令将特权EXEC模式密码更改为ciscoenpa55

CCNAS-ASA(config)#enable password ciscoenpa55

步骤3:设置日期和时间。

使用clock set命令手动设置日期和时间(此步骤不计入评分)。

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

步骤4:配置内部和外部接口。

此时您只需配置VLAN 1(内部)和VLAN 2(外部)接口。VLAN 3(dmz)接口将在活动的第五部分进行配置。

a. 为内部网络(192.168.1.0/24)配置逻辑VLAN 1接口,并将其安全级别设置为最高值100

CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# security-level 100

b. 为外部网络(209.165.200.224/29)创建逻辑VLAN 2接口,将其安全级别设置为最低值0,并启用VLAN 2接口。

CCNAS-ASA(config-if)# interface vlan 2
CCNAS-ASA(config-if)# nameif outside
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# security-level 0

c. 使用以下验证命令检查您的配置:

  1. 使用show interface ip brief命令显示所有ASA接口的状态。注意:这个命令与IOS命令show ip interface brief不同。如果之前配置的任何物理或逻辑接口状态不是up/up,请根据需要排查问题后再继续。

提示:大多数ASA show命令,包括ping、copy等,无需do命令即可在任意配置模式提示符下执行。

  1. 使用show ip address命令显示三层VLAN接口的信息。

  2. 使用show switch vlan命令显示ASA上配置的内部和外部VLAN以及分配的端口。

步骤5:测试到ASA的连接性。

a. 应该可以从PC-B成功ping通ASA内部接口地址(192.168.1.1)。如果无法ping通,请按需排查配置问题。
在这里插入图片描述

b. 从PC-B尝试ping VLAN 2(外部)接口的IP地址209.165.200.226。理论上您不应该能ping通这个地址。
在这里插入图片描述

第三部分:使用CLI配置路由、地址转换和检查策略

步骤1:为ASA配置静态默认路由。

在ASA外部接口上配置默认静态路由,以便ASA能够访问外部网络。

a. 使用route命令创建一个“全零”默认路由,将其与ASA外部接口关联,并将R1 G0/0 IP地址(209.165.200.225)设置为最后手段网关。

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

b. 发出show route命令以验证静态默认路由是否存在于ASA路由表中。

c. 验证ASA能否ping通R1 S0/0/0 IP地址10.1.1.1。如果无法ping通,请按需排查问题。

步骤2:使用PAT和网络对象配置地址转换。

a. 创建名为inside-net的网络对象,并使用subnet和nat命令为其分配属性。

CCNAS-ASA(config)# object network inside-net
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end

b. ASA将配置拆分为定义要转换的网络的对象部分以及实际的nat命令参数。这些内容会在运行配置中的两个不同位置显示。使用show run命令显示NAT对象配置。

c. 从PC-B尝试ping R1 G0/0接口IP地址209.165.200.225。这些ping请求应失败。
在这里插入图片描述

d. 在ASA上发出show nat命令查看已翻译和未翻译的命中次数。请注意,来自PC-B的ping请求中有四个被翻译,四个未被翻译。外出的ping(echo请求)已被翻译并发送至目标。返回的echo响应由于防火墙策略而被阻止。您将在本部分活动的第3步配置默认检查策略以允许ICMP流量。

步骤3:修改默认MPF应用检查全局服务策略。

为了实现应用层检查和其他高级选项,Cisco ASA设备提供了MPF功能。

Packet Tracer ASA设备默认没有MPF策略映射。作为修改,我们可以创建一个默认策略映射,用于对内部到外部的流量进行检查。正确配置后,只有由内部发起的流量才被允许回传到外部接口。您需要将ICMP添加到检查列表中。

a. 使用以下命令创建类图、策略映射和服务策略,并在策略映射列表中添加ICMP流量的检查:

CCNAS-ASA(config)# class-map inspection_default
CCNAS-ASA(config-cmap)# match default-inspection-traffic
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
CCNAS-ASA(config-pmap-c)# exit
CCNAS-ASA(config)# service-policy global_policy global

b. 从PC-B再次尝试ping R1 G0/0接口IP地址209.165.200.225。这次ping应该成功,因为现在ICMP流量正在被检查,合法的返回流量被允许通过。若ping失败,请排查您的配置。
在这里插入图片描述

第四部分:配置DHCP、AAA和SSH

步骤1:配置ASA作为DHCP服务器。

a. 在ASA内部接口上配置DHCP地址池并启用它。

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside

b. (可选)指定给客户端提供的DNS服务器IP地址。

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

c. 在ASA内启用DHCP守护进程,使其监听内部接口上的DHCP客户端请求。

CCNAS-ASA(config)# dhcpd enable inside

d. 将PC-B从静态IP地址更改为DHCP客户端,并验证其是否接收到IP地址信息。如有必要,请解决任何问题。
在这里插入图片描述

步骤2:配置AAA以使用本地数据库进行身份验证。

a. 使用username命令定义一个名为admin的本地用户,并指定密码adminpa55。

CCNAS-ASA(config)# username admin password adminpa55

b. 配置AAA以使用本地ASA数据库进行SSH用户身份验证。

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

步骤3:配置远程访问ASA。

ASA可以配置为接受来自内部或外部网络的单个主机或范围内的主机连接。在此步骤中,外部网络的主机只能通过SSH与ASA通信。SSH会话可用于从内部网络访问ASA。

a. 生成RSA密钥对,这是支持SSH连接所必需的。由于ASA设备已经有RSA密钥存在,当提示替换它们时请输入no。

CCNAS-ASA(config)# crypto key generate rsa modulus 1024

b. 配置ASA以允许来自内部网络(192.168.1.0/24)和外部网络分支办公室远程管理主机(172.16.3.3)的任何主机通过SSH进行连接。设置SSH超时时间为10分钟(默认为5分钟)。

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10

c. 从PC-C通过SSH建立到ASA(209.165.200.226)的会话。如不成功,请排查问题。

PC> ssh -l admin 209.165.200.226

在这里插入图片描述

d. 从PC-B通过SSH建立到ASA(192.168.1.1)的会话。如不成功,请排查问题。

PC> ssh -l admin 192.168.1.1

在这里插入图片描述

第五部分:配置DMZ、静态NAT和ACL

R1 G0/0接口与ASA的外部接口分别使用209.165.200.225和.226。您将使用公网地址209.165.200.227,并通过静态NAT提供对服务器的地址转换访问。

步骤1:在ASA上配置DMZ接口VLAN 3。

a. 配置DMZ VLAN 3,该VLAN将是公共访问Web服务器所在的位置。为它分配IP地址192.168.2.1/24,并命名为dmz,同时为其设置安全级别为70。由于服务器无需主动与内部用户通信,因此禁用到接口VLAN 1的转发。

CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)# no forward interface vlan 1
CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70

b. 将ASA物理接口E0/2分配给DMZ VLAN 3并启用此接口。

CCNAS-ASA(config-if)# interface Ethernet0/2
CCNAS-ASA(config-if)# switchport access vlan 3

c. 使用以下验证命令检查您的配置:

  1. 使用show interface ip brief命令显示所有ASA接口的状态。
    在这里插入图片描述

  2. 使用show ip address命令显示第3层VLAN接口的信息。
    在这里插入图片描述

  3. 使用show switch vlan命令显示ASA上的inside和outside VLAN配置以及分配的端口信息。
    在这里插入图片描述

步骤2:使用网络对象配置到DMZ服务器的静态NAT。

配置一个名为dmz-server的网络对象,并将其分配给DMZ服务器的静态IP地址(192.168.2.3)。在定义对象模式下,使用nat命令指定此对象用于使用静态NAT将DMZ地址翻译为外部地址,并指定公开翻译地址209.165.200.227。

CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)# nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)# exit

步骤3:配置ACL以允许从互联网访问DMZ服务器。

配置一个名为OUTSIDE-DMZ的命名访问列表,允许来自任何外部主机到DMZ服务器内部IP地址的TCP协议在端口80上进行通信。将访问列表应用到ASA的外部接口的“IN”方向。

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

注:与IOS ACL不同,ASA ACL的permit语句必须允许对内部私有DMZ地址的访问。外部主机通过服务器的公共静态NAT地址访问服务器,ASA将其翻译成内部主机IP地址,然后应用ACL。

步骤4:测试对DMZ服务器的访问。

在创建Packet Tracer活动时,成功测试外部对DMZ Web服务器的访问功能并未实现;因此,不强制要求成功测试。

步骤5:检查结果。

完成百分比应为100%。点击“Check Results”查看反馈和已完成所需组件的验证。

实验脚本:

第一部分:验证连接和探索ASA设备

hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password ciscoenpa55
clock set 10:38:00 22 dec 2020

第二部分:使用CLI配置ASA设置和接口安全

interface vlan 1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100

interface vlan 2
nameif outside
ip address 209.165.200.226 255.255.255.248
security-level 0
interface Ethernet0/0
switchport access vlan 2

interface vlan 3
ip address 192.168.2.1 255.255.255.0
no forward interface vlan 1
nameif dmz
security-level 70
interface Ethernet0/2
switchport access vlan 3

第三部分:使用CLI配置路由、地址转换和检查策略

route outside 0.0.0.0 0.0.0.0 209.165.200.225
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
service-policy global_policy global

第四部分:配置DHCP、AAA和SSH

dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 209.165.201.2 interface inside
dhcpd enable inside

username admin password adminpa55
crypto key generate rsa modulus 1024 #no

aaa authentication ssh console LOCAL
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10

第五部分:配置DMZ、静态NAT和ACL

object network dmz-server
host 192.168.2.3
nat (dmz,outside) static 209.165.200.227

object network inside-net
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface


access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
access-group OUTSIDE-DMZ in interface outside
玥轩_521
关注
  • 21
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
2.9.2 Packet Tracer - Basic Switch and End Device Configuration - Physical Mode.pka
11-02
2.9.2 Packet Tracer - Basic Switch and End Device Configuration - Physical Mode.pka
4.1.1.11 Packet Tracer - Configuring Extended ACLs Scenario 2.pka
11-01
4.1.1.11 Packet Tracer - Configuring Extended ACLs Scenario 2.pka
9.3.1.1 Packet Tracer - Configuring ASA Basic Settings and Firew
01-02
9.3.1.1 Packet Tracer - 使用CLI配置ASA基本设置和防火墙 在本实验任务中,你将使用Cisco Packet Tracer模拟环境通过命令行界面(CLI)来配置Cisco ASA防火墙的基本设置以及防火墙规则。以下是一些可能的配置步骤: 1. **设备初始配置**: - 连接到ASA防火墙的CLI- 设置特权执行模式密码:`enable password <password>` - 配置管理接口IP地址:`interface GigabitEthernet0/0 management-only` `ip address <ip_address> <subnet_mask>` `nameif management` `security-level 100` 2. **激活防火墙策略**: - 创建一个访问控制列表(ACL):`access-list <acl_name> extended permit|deny <protocol> any <source_ip/subnet> any <desti
Cisco ASA防火墙简易配置与调试手册
热门推荐
银凯
07-24 2万+
一、 基础配置1.1 密码配置 ciscoasa(config)#passwd password 一般用于telnet登陆ASA的登录密码1.2 Enable密码配置 ciscoasa(config)#enable password password 用于进入enable特权模式
烽火2640路由器命令行手册-07-安全配置命令
weixin_30385925的博客
11-25 975
安全配置命令 目 录 第1章 AAA配置命令... 1 1.1 认证命令... 1 1.1.1 aaa authentication enable default 1 1.1.2 aaa authentication login. 2 1.1.3 aaa authentication ppp. 3 1.1.4 aaa authentication pas...
ensp基础命令
weixin_44571709的博客
07-14 6086
1.dis ip int bri 查看端口ip sysname 改名 2.域管理 fire zone name 名字(新建区域) set priority 安全等级 fire zone (trust) add int (g1/0/1) ——加入域 dis zone ——查看所加域、 undo add int (g0/0/0)——删除某条域命令 3.安全策略配置 security-policy ——进入安全策略视图 rule name (rule1)——创建安全策略规则 source-zone/a
ASA高级配置
:Struggle.
05-10 143
* 防范IP分片.gong.击 1)IP分片的原理 ![](https://s1.51cto.com/images/blog/201905/10/4e9303e3a547e2d334b54dce7275ccda.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y...
cisco ASA 防火墙安全算法原理和基本配置 (一)
weixin_33885676的博客
09-22 673
一,ASA的安全算法 1)ASA就是一个状态化防火墙,其中有一个关于用户信息的连接表,称为conn表,表中的关键信息如 源ip地址 目的ip地址 ip协议(只针对Tcp和UDP,不对ICMP进行状态化检测,) ip协议信息(tcp、udp的端口号,tcp序列号,tcp控制位) 2)安全算法的原理 原始报文--------ACL-----------XL...
ASA基本配置
Liu_handsome_brother的博客
07-31 7768
一、ASA的基本配置 1、主机名 hostname 名字 2、特权密码 enable password 密码 3、远程登录密码(telnet密码) passwd 密码 4、清除所有配置 全局模式下:clear configure all 5、ACL配置 access-list 名字 permit ip 源网段 子网掩码(...
4.4.1.3 Packet Tracer - Configuring a Zone-Based Policy Firewall
01-02
在本实验任务中,你将使用Cisco Packet Tracer模拟环境配置一个基于区域的策略防火墙(Zone-Based Policy Firewall, ZPF)。以下是一些基本步骤: 1. **定义安全区域**: -ASA防火墙或支持ZPF的路由器上创建并...
1_159 陈怡霏 10.4.3-packet-tracer---basic-device-configuration_zh-CN.pka
11-20
1_159 陈怡霏 10.4.3-packet-tracer---basic-device-configuration_zh-CN.pka
[转]路由器访问控制列表详解
quanshengaa的专栏
07-01 609
网络安全保障的第一道关卡  对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对
思科防火墙nat 命令配置
道亦的博客
08-19 1万+
1.ASA一对一的NAT配置 分析现在内网不能PING外网有两方面原因 1:在路由层面(内网的设备没有外网的路由,外网的设备没有内网路由) 2:ASA防火策略层面(当外网的OUTSIDE去访问INSIDE接口时候会拒绝访问。 1:ASA策略放行 ciscoasa(config)# access-list 100 permit ip any any ciscoasa(con...
路由器安全策略
weixin_33991727的博客
10-23 316
一:控制网段之间的相互互通访问 思科cisco 5500 series wireless system-view #进入配置 acl number 3000 #选择规则 rule 1 permit ip source 10.0.2.0 0.0.0.255 destination 172.16.3.55 0 #配置规则,允许10.0.2.0网段访问172.16.3...
华为USG6000V防火墙telnet+安全策略
一个懒鬼的博客
10-13 3494
实验拓扑 实验要求: 实现在内部的clound1上可以telnet、ssh以及web方式访问防火墙 实现内部的pc1可以访问外部的pc2,而pc3不可以访问 实现外部的pc2可以访问dmz中的服务器(ftp,http以及icmp) 一、配置防火墙允许telnet 1)配置接口ip [USG6000V1]int g0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip add 192.168.0.1 24 [USG6000V1]int g1/0/0 [USG.
Linux网络编程:网络基础
weixin_73234157的博客
05-20 479
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
PyBullet 物理引擎
最新发布
FL1717的博客
05-20 485
软件安装pip install pybulletPyBullet的默认搜索路径:F:\Software_Setup\Python\Python_Setup\Lib\site-packages\pybullet_data Python的第三方库会安装到解释器目录的下的Lib的site-packages文件夹,里面有5个…由于其使用免费的Bullet引擎,安装过程相对简单,且文档全面,每个API都提供了详细的示例,使得PyBullet成为开发人员的有力工具。
什么是渗透测试,为什么它很重要
Spade_sec的博客
05-15 321
本文主要介绍什么是渗透测试,以及为什么渗透测试很重要
CPU占用率过高排查
Tony_long7483的博客
05-14 461
如果有人伪造TC-BPDU报文恶意攻击,设备短时间内会收到很多TC-BPDU报文,频繁的删除操作会导致CPU占用率比较高。·如果设备已经配置了loop-detect eth-loop alarm-only,但是没有看到告警,检查设备是否产生海量日志,某些异常情况下如受到攻击、运行中发生了错误、端口频繁Up/Down等,设备会不停打印诊断信息或日志信息。· CPU占用率高是设备本身的一种现象,直观表现为display cpu-usage命令查询结果中整机CPU占用率“CPU usage”偏高,如超过70%。
packet tracer -pppoe
04-08
Packet Tracer是一款由思科公司开发的网络仿真工具,它可以用于模拟和测试网络设备和网络拓扑。PPPoE(Point-to-Point Protocol over Ethernet)是一种在以太网上建立点对点连接的协议。 在Packet Tracer中,PPPoE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玥轩_521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值