Cisco ASA 5510 配置

Cisco  ASA 5510 （8.2） 配置过程

 

1.       为了配置简单，准备安装ASDM（6.5）图形管理界面，经过查看手册和网上收集资料，我具体安装方法如下：

1）  从随机光盘里安装Java，然后安装ASDM，安装比较简单，也不需要做什么配置；刚开始是win7 64位操作系统，然后直接安装ASDM，提示需要安装Java，直接从Oracle 网上下载最新版本安装，再安装ASDM还是提示需要安装Java，怀疑环境变量的问题，进行设置，还是没有弄好。系统本来有点慢，格了安装XP，直接从光盘安装Java（1.6），再安装ASDM，什么也不用设置，一切正常。

2）  用串口线连接进5510，需要进行简单设置才能使用ASDM正常登录。

串口下输入以下命令：

 

ciscoasa>

 

ciscoasa> en

 

Password:

 

ciscoasa# conf  t                         进入全局模式

 

ciscoasa(config)# web***     进入WEB×××模式（经过测试不进这个模式，直接设置用户名和密码也可以）

 

ciscoasa(config-web***)# username cisco password cisco  新建一个用户和密码

 

ciscoasa(config)# int m 0/0          进入管理口

 

ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0  添加IP地址（新设备默认就有管理IP：192.168.1.1）

 

ciscoasa(config-if)# nameif guanli          给管理口设个名字

 

ciscoasa(config-if)# no shutdown          激活接口

 

ciscoasa(config)#q                      退出管理接口

 

ciscoasa(config)# http server enable        开启HTTP服务

 

ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli    在管理口设置可管理的IP地址

 

ciscoasa(config)# show run           查看一下配置

 

ciscoasa(config)# wr m               保存

 

经过以上配置就可以用ASDM配置防火墙了。

由于我提前安装了ASDM所以下面的方法没有操作：

经过上面的配置以后，用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为172.16.0.0 段的IP打开浏览器在地址栏中输入管理口的IP地址:

 

https://172.16.0.1

 

弹出一下安全证书对话框，单击 “是”

 

输入用户名和密码（就是在串口的WEB×××模式下新建的用户和密码），然后点击“确定”。

 

出现也下对话框，点击"Download ASDM Launcher and Start ASDM"开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上 Java 版本)，进入WWW.JAVA.COM下载安装，安装完后点击下面的"Run ASDM as a Java Applet ”。

 

出现以下对话框， 点击“是”。

 

出现以下对话框，输入用户名和密码（就是在串口的WEB×××模式下新建的用户和密码），然后点击“是”。

 

出现以下对话框，点击“是”。

 

进入ASDM管理器。

 

这样就可以通过ASDM来配置防火墙了。

 

以后就可以直接使用ASDM来管理防火墙了。

 

2.       其实使用ASDM配置不是很方便，下面介绍命令行模式下的配置方法：

根据我们的实际情况，要内网使用防火墙，所以要使用透明模式：

ciscoasa>

 

ciscoasa> en

 

Password:

 

ciscoasa# conf  t                         进入全局模式

 

 

ciscoasa(config)#  firewall transparent          打开透明模式（更改模式后，之前所有的设置都清空）

ciscoasa(config)# int e0/0     进入端口模式

ciscoasa(config-if)#nameif outside     设定端口名称为outside 出口

ciscoasa(config-if)#no sh        打开端口

ciscoasa(config-if)#q      退出端口模式

ciscoasa(config)#

ciscoasa(config)# int e0/1     进入端口模式

ciscoasa(config-if)#nameif inside     设定端口名称为inside 出口

ciscoasa(config-if)#no sh        打开端口

ciscoasa(config-if)#q      退出端口模式

ciscoasa(config)#

ciscoasa(config)#ip add 172.16.0.10 255.255.255.0 配置一个管理地址

透明模式的设置基本就可以了，默认inside到outside的是允许的，但outside到inside是拒绝的，需要配置acl来打开。

写两个acl的例子吧

ciscoasa(config)#access-list 101 extended permit icmp any any    允许ping的acl 加extended 是可扩展的列表，应用一次就可以了

 

ciscoasa(config)#access-group 101 in interface outside     将acl应用到outside端口的in方向

ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.11 eq 80   开放内网172.16.0.11的80端口给外网

ciscoasa(config)#access-list 101 extended permit tcp any host 172.16.0.12 range 20 23  开放内网172.16.0.12的20到23号端口

 

3.       打开telnet

ciscoasa(config)#telnet 0.0.0.0 0.0.0.0 inside 设置可以telnet的地址

ciscoasa(config)#password admin  设置登录telnet的密码

转载于:https://blog.51cto.com/wjxiaoit/584514