ASA 5545防火墙及思科3750交换机配置办公网络

最新推荐文章于 2023-04-07 10:19:19 发布
最新推荐文章于 2023-04-07 10:19:19 发布
阅读量1.9k 收藏 11
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37139220/article/details/103574587
版权

实验目标:ASA 5545防火墙一端作为外网入口,一端连接3750交换机。由于办公设备比较少,交换机3750作为核心交换机,没有再接其他交换机了。
为了做实验,在没有外部ISP外网的情况下,使用现有办公网地址192.168.1.71作为5545防火墙的外网IP,外网网关是192.168.1.1
在核心交换机3750上创建两个vlan 50和vlan 60 地址分别是192.168.50.0 和192.168.60.0
防火墙与核心交换机直连,防火墙端配置IP地址为11.0.0.1,核心交换机端配置ip地址为11.0.0.2
配置完毕后,笔记本配置192.168.50.10IP地址后,可以上外网。

一、在核心交换机上进行配置
1、在三层交换创建vlan50 vlan60 。设置相应的配置:
Vlan50
Vlan60

为每个vlan配置主机的网关:
Switch(config)#vlan 50
Switch(config-vlan)#inter vlan 50
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan50, changed state to down
Switch(config-if)#ip address 192.168.50.254 255.255.255.0
Switch(config-if)#ex

Switch(config)#vlan 60
Switch(config-vlan)#inter vlan 60
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan60, changed state to down
Switch(config-if)#ip address 192.168.60.254 255.255.255.0
Switch(config-if)#ex

Switch(config)#interface Gi1/0/2
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/3
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/4
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/5
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex
Switch(config)#ex
或者批量配置

Switch(config-if)#interface range Gi1/0/2-6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex

Switch(config-if)#interface range Gi1/0/7-12
Switch(config-if)#switchport access vlan 60
Switch(config-if)#ex
为每个vlan配置dhcp:(命令可直接复制)
Switch#conf
Switch#configure t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip dhcp pool vlan50
Switch(dhcp-config)#network 192.168.50.0 255.255.255.0
Switch(dhcp-config)#default-route 192.168.50.254
Switch(dhcp-config)#ex

2、配置核心交换机ip地址
Switch(config)#interface Gi1/0/1
Switch(config-if)#no switchport

Switch(config-if)#ip address 11.0.0.2 255.255.255.0
Switch(config-if)#ex
如果敲击命令时提示说你的命令有错误,^就是你错误的地方

配IP地址时,如果不是你的命令打错了,可能是因为你在二层口上配地址,要先起三层,
先执行no switchport

3、先在核心交换机配置一条默认路由,将往外网的数据丢给防火墙或者边界路由。注意:默认路由一台设备只能向一个方向,不能配两个方向的默认路由,不然会丢包。
Switch#conf
Switch#configure t
Switch(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.1
Switch(config)#
4、最后开启路由功能:ip routing (千万不要忘记,不然无法通信)
5、保存配置write 或者write memory 或者 copy running-config startup-config
二、防火墙ASA5545端配置
1、配置外网口IP地址

ciscoasa# conf
ciscoasa# configure t
ciscoasa(config)# int
ciscoasa(config)# interface GigabitEthernet0/0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
ciscoasa(config-if)# ip address 192.168.1.71 255.255.255.0

2、配置内网口地址
ciscoasa(config-if)# interface GigabitEthernet0/1
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
ciscoasa(config-if)# ip address 11.0.0.1 255.255.255.0

3、在ASA1上做动态PAT,使内网主机可以利用外网口上网
object network outside_obj_192.168.1.71
subnet 192.168.1.71 255.255.255.255
object network Inside-obj_192.168.50.0
subnet 192.168.50.0 255.255.255.0
nat (inside,outside) dynamic interface
Cisco ASA 5500 8.3 以后版本NAT配置命令发生了变更,可以参考这个文章http://www.zhanggy.com/blog/872/

4、配置ACL来允许外部网络访问内部网络
ASA防火墙在默认情况下,允许内网区域访问外部区域,而外部区域无法访问内部区域,若想访问,需要做一条ACL来匹配。
ciscoasa(config)# access-list test permit ip any any
应用在外接口的in方向(即外部向内部)
ciscoasa(config)# access-group test in int outside

5、向运营商路由器指一条默认,向内网指一条静态路由
route outside 0 0 192.168.1.1
内网数据包都有外网口丢给192.168.1.1外网IP的网关或路由
route inside 192.168.50.0 255.255.255.0 11.0.0.2
外网数据包访问192.168.50.0时都丢给11.0.0.2 核心交换机IP地址

6、保存配置write 或者write memory 或者 copy running-config startup-config
最后测试,用笔记本插到核心交换机3端口上,笔记本配置IP为192.168.50.10,网关是192.168.50.254,dns是8.8.8.8,最后上网成功。
另外,50和60网段可以通信,50段ip可以ping 通192.168.60.254 ,60段ip可以ping 通192.168.50.254 ,50段ip和60段ip可以通信但不能互ping

常用查询配置命令:
show route
show int
show nat
show access-list
show running-config

如果后期需要增加一台接入交换机,与核心交换机做trunk,将接入交换机上端口分配给VLAN 50
配置命令如下:
1、在接入交换机上执行:
创建vlan 50 并分配一个ip地址,后面可以使用这个ip地址ssh到这台接入交换机上进行管理
vlan 50
interface Vlan2
ip address 192.168.1.254 255.255.255.0
启用ssh
ip classless
ip http server
ip http secure-server
!

line con 0
line vty 0 4
transport input ssh
line vty 5 15

配置ssh登录用户口令及enable口令
aaa new-model
enable password abc@123
!
username test password 0 test

将1-46口分配给vlan 50
interface GigabitEthernet1/0/1
switchport access vlan 50
switchport mode access
spanning-tree portfast


interface GigabitEthernet1/0/46
switchport access vlan 50
switchport mode access
spanning-tree portfast

将47口分配给trunk使用
interface GigabitEthernet1/0/47
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2
switchport mode trunk

2、在核心交换机上配置trunk,将47口分配给trunk
interface GigabitEthernet1/0/47
switchport access vlan 50
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 50
switchport mode trunk

qq_37139220
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco路由基础:双线策略路由的三种实现方式总结+端口映射
10-01
主要为大家介绍了双线策略路由的三种实现方式总结和端口映射方面的问题,双线比单线要复杂多了,但把策略路由的原理弄明白了,就会发现其实并不难,需要的朋友可以参考下
思科双核心交换机双出口防火墙配置案例
jake8168的博客
02-23 3893
思科双核心交换机双出口配置案例,自动切换出口设备
交换机、路由器防火墙配置
天上掉馅饼
02-27 4994
交换机路由器防火墙配置命令
华为防火墙与三层交换机对接配置VLAN上网设置
一直被模仿,从未被超越
01-06 9505
华为防火墙与三层交换机对接配置VLAN上网设置
二层交换机防火墙通过子接口对接上网
Tony_long7483的博客
10-20 4685
1.配置基本IP地址 2.untrust区域连通性配置 [AR1-GigabitEthernet0/0/0]ip add 20.1.1.2 24 [AR1-GigabitEthernet0/0/1]ip add 20.1.2.2 24 [AR1]ospf 1 [AR1-ospf-1]area 0 [AR1-ospf-1-area-0.0.0.0]network 20.1.1.0 0.0.0.255 [AR1-ospf-1-area-0.0.0.0]network 20.1.2.0 0.0.0.255.
在CISCO ASA 防火墙配置Web ×××
weixin_33730836的博客
06-08 1109
目前市场上×××产品很多,而且技术各异,就比如传统的 IPSec ××× 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL ××× 作为远程安全接入技术,主要看重的是其接入控制功能。 SSL ××× 提供增强的远程安全接入功能。 IPSec ××× 通过在...
Cisco ASA 5510 防火墙重置密码及配置恢复的方法.doc
10-21
很多人都玩过破解或者恢复Windows的密码,直接使用PE等工具,使用一个U盘就可以搞定。工作中可能会需要破解一些网络设备的密码,比如,路由器、交换机防火墙等。
Cisco路由器防火墙配置命令及实例.pdf
12-04
Cisco路由器防火墙配置命令及实例 本文档将详细介绍Cisco路由器防火墙配置命令的使用方法和实例,包括清除访问列表规则的统计信息、启用或禁止防火墙配置防火墙的缺省过滤方式、应用规则到接口上等内容。 一、...
远程网管思科ASA二层防火墙.doc
05-07
在远程管理思科ASA二层防火墙时,需要首先配置PC的IP地址,然后配置Switch的VLAN和SVI(交换机虚拟接口),接着配置ASAv二层防火墙,包括转换为Transparent模式、打开接口、划分到Bridge-group、配置BVI地址和做路由...
cisco ASA系列镜像文件
最新发布
05-22
cisco ASA系列镜像文件
Cisco ASA防火墙配置手册
08-26
Cisco ASA 5500 Series Configuration Guide using the CLI Software Version 8.4 and 8.6 for the ASA 5505,ASA 5510,ASA 5520,ASA 5540,ASA 5550 ,ASA 5580,ASA 5512-X,ASA 5515-X,ASA 5525-X,ASA 5545-X,ASA 5555-X,and ASA 5585-X
CISCO ASA 5520配置手册
07-03
CISCO ASA 5520配置手册.htm
cisco_ASA防火墙恢复初始化
02-07
ASA 防火墙flash 被删 防火墙不断启动 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 按下ESC进入监控模式 监控模式下的显示和交换机路由器没有什么区别。命令格式也大同小异只要...
cisco_ASA_5550密码恢复.doc
01-07
Step 1 利用CONSOLE线连接ASA配置口和我们的PC,注意console口和aux口在一起,标签是蓝色的。同时打开超级终端,进入系统并监视其运行。 Step 2 关闭ASA的开关,然后再打开,进行重新加点启动,注意这时要按住ESC...
cisco ASA防火墙NAT/PAT详解
phoenix1415的博客
11-05 5263
cisco ASA NAT大全,只针对NAT44做介绍
思科防火墙配置命令(详细命令总结归纳)
热门推荐
1风天云月的博客
10-10 3万+
前言 防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法 一、防火墙介绍 防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问 二、防火墙配置 ...
思科ASA防火墙: 接口配置名称 && 安全等级 && acl防控列表
鲍海超
04-07 2869
access-list + 自定义acl名称+ permit + ip host 源ip host 目标ip (any是全部 上边那个意思是 172.12.12.1 到内网全部)(因为没有对某些协议进行记录,所以不会让外面的回包进来,但是自己发的可以出去,这样就造成的无法得到回应,设备就以为外网设备不存在,使用acl就可以解决)现在基本的都配置好了,但是内网只能ping通自己的网关,外网也是只能ping通网关。如果源ip 改成any 目标 ip也是 any 那就是外网全部可以和内网全部通信。
防火墙双机热备之上下行接交换机
weixin_30872789的博客
07-10 1774
一、场景概述 场景说明: 中小型企业很有可能只有一个根外网线,一个公网IP,如何接两个防火墙呢?在这种场景下,可以将外网线接入到交换机上,然后交换机下方接入两台防火墙防火墙使用VRRP技术,在防火墙的实际接口上配置两个私网地址,然后虚拟出一个公网地址(注:VRRP的实际地址可以与虚拟地址不在同一个网段!)。 虽然只有一个外网线,但是如果买了多个公网IP的话,可以让防火墙VRRP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值