asa5510配置参考

ciscoasa# sh run <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

: Saved

:

ASA Version 7.2(1)

!

hostname ciscoasa

domain-name default.domain.invalid

enable password 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address   公网IP     掩码

!

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address  下层IP    掩码

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 nameif management

 security-level 100

 ip address 192.168.1.1 255.255.255.0

 management-only

!

passwd zMXJhyH0qrnRJFtR encrypted

ftp mode passive

dns server-group DefaultDNS

 domain-name default.domain.invalid

access-list acl_inside extended deny tcp any any eq 137

access-list acl_inside extended deny tcp any any eq 138

access-list acl_inside extended deny udp any any eq netbios-dgm

access-list acl_inside extended deny tcp any any eq 135

access-list acl_inside extended deny udp any any eq 135

access-list acl_inside extended deny udp any any eq tftp

access-list acl_inside extended deny udp any any eq netbios-ns

access-list acl_inside extended deny udp any any eq 139

access-list acl_inside extended deny tcp any any eq netbios-ssn

access-list acl_inside extended deny tcp any any eq 136

access-list acl_inside extended deny tcp any any eq 445

access-list acl_inside extended deny tcp any any eq 593

access-list acl_inside extended deny tcp any any eq 4444

access-list acl_inside extended permit icmp any any

access-list acl_inside extended permit ip any any

access-list 100 extended deny ip host 192.168.2.40 any

access-list 100 extended deny ip host 192.168.2.41 any

access-list 100 extended deny ip host 192.168.2.42 any

access-list 100 extended deny ip host 192.168.2.43 any

access-list 100 extended deny ip host 192.168.2.44 any

access-list 100 extended deny ip host 192.168.2.45 any

access-list 100 extended deny ip host 192.168.2.46 any

access-list 100 extended deny ip host 192.168.2.47 any

access-list 100 extended deny ip host 192.168.2.48 any

access-list 100 extended deny ip host 192.168.2.49 any

access-list 100 extended deny ip host 192.168.2.50 any

access-list 100 extended deny ip host 192.168.2.51 any

access-list 100 extended deny ip host 192.168.2.52 any

access-list 100 extended deny ip host 192.168.2.53 any

access-list 100 extended deny ip host 192.168.2.54 any

access-list 100 extended deny ip host 192.168.2.55 any

access-list 100 extended deny ip host 192.168.2.56 any

access-list 100 extended deny ip host 192.168.2.57 any

access-list 100 extended deny ip host 192.168.2.58 any

access-list 100 extended deny ip host 192.168.2.59 any

access-list 100 extended deny ip host 192.168.2.60 any

access-list 100 extended deny ip host 192.168.2.61 any

access-list 100 extended deny ip host 192.168.2.62 any

access-list 100 extended deny ip host 192.168.2.63 any

access-list 100 extended permit ip any any

pager lines 24

mtu outside 1500

mtu inside 1500

mtu management 1500

icmp permit any outside

asdm p_w_picpath disk0:/asdm521.bin

no asdm history enable

arp timeout 14400

nat-control

global (outside) 1 interface

global (outside) 2 218.206.103.203 netmask 255.255.255.248

global (outside) 3 218.206.103.204 netmask 255.255.255.248

nat (inside) 2 192.168.1.0 255.255.255.224

nat (inside) 3 192.168.2.0 255.255.255.192

nat (inside) 1 192.168.0.0 255.255.255.0

access-group acl_inside in interface outside

access-group 100 in interface inside

route outside 0.0.0.0 0.0.0.0 218.206.103.201 1

route inside 192.168.0.0 255.255.255.0 192.168.100.2 1

route inside 192.168.1.0 255.255.255.224 192.168.100.2 1

route inside 192.168.2.0 255.255.255.192 192.168.100.2 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

username cisco password 3USUcOPFUiMCO4Jk encrypted

http server enable

http 192.168.1.0 255.255.255.0 management

http 192.168.0.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet 0.0.0.0 0.0.0.0 inside

telnet timeout 5

ssh timeout 5

console timeout 0

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect skinny

  inspect esmtp

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect sip

  inspect xdmcp

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:9bcd7091f2750ea3e96bdefb04c68132

: end

ciscoasa#

转载于:https://blog.51cto.com/1353337/328798