ASA842透明墙测试(***,ospf,DHCP)

最新推荐文章于 2020-05-11 15:37:35 发布
最新推荐文章于 2020-05-11 15:37:35 发布
阅读量276 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34037515/article/details/85102372
版权

一.概述:
   测试透明墙的site-to-site ***及作用,并通过DHCP和OSPF来验证透明墙如何放策略。
二.基本思路:
A.透明墙的***只是为了进行管理墙用的,仅此而已
B.arp是可以自动双方向穿越透明墙的,因此测试可以看到虽然ping不同透明墙相隔的对端的直连地址,arp表会有记录
C.透明墙放行策略需要内网都放

----测试发现即使全局开启的ICMP审查,inside区要想ping通outside区的话,还需要inside接口ACL放行icmp,这与路由模式是由区别的。

三.测试拓扑:
181642505.jpg

四.基本配置:
A.R1:
interface Loopback0
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/0
ip address 202.100.1.1 255.255.255.0
no shut
B.R2:
①接口配置:
interface Ethernet0/0
ip address 202.100.1.2 255.255.255.0
ip nat outside
no shut
interface Ethernet0/1
ip address 10.1.1.2 255.255.255.0
ip nat inside
no shut
ip route 0.0.0.0 0.0.0.0 202.100.1.1
②动态PAT:
ip access-list extended pat
permit ip 10.1.1.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
③静态PAT:
ip nat inside source static udp 10.1.1.10 500 interface Ethernet0/0 500
ip nat inside source static udp 10.1.1.10 4500 interface Ethernet0/0 4500
④OSPF配置:
router ospf 1
router-id 2.2.2.2
network 10.1.1.0 0.0.0.255 area 0
default-information originate always
C.ASA842:
firewall transparent
interface GigabitEthernet0
nameif Outside
bridge-group 1
security-level 0
no shut
interface GigabitEthernet1
nameif Inside
bridge-group 1
security-level 100
no shut
interface BVI1
ip address 10.1.1.10 255.255.255.0
route Outside 0.0.0.0 0.0.0.0 10.1.1.2
D.R3:
①接口配置
interface Loopback0
ip address 192.168.3.3 255.255.255.0
interface Ethernet0/0
ip address dhcp
no shut
②OSPF配置:
router ospf 1
router-id 3.3.3.3
passive-interface default
network 10.1.1.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
no passive-interface e0/0
五.***配置:
A.R1:
①第一阶段策略:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 202.100.1.2
②第二阶段转换集:
crypto ipsec transform-set transet esp-des esp-md5-hmac
③配置感兴趣流:
ip access-list extended ***
permit ip 192.168.1.0 0.0.0.255 host 10.1.1.10
④配置crypto map并在接口调用:
crypto map crymap 10 ipsec-isakmp
set peer 202.100.1.2
set transform-set transet
match address ***
reverse-route
interface Ethernet0/0
crypto map crymap
B.ASA842透明墙:
①第一阶段策略:
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
tunnel-group 202.100.1.1 type ipsec-l2l
tunnel-group 202.100.1.1 ipsec-attributes
ikev1 pre-shared-key cisco
②第二阶段转换集:
crypto ipsec ikev1 transform-set transet esp-des esp-md5-hmac
③配置感兴趣流:
access-list *** extended permit ip host 10.1.1.10 192.168.1.0 255.255.255.0
④配置crypto map并在接口应用:
crypto map crymap 10 match address ***
crypto map crymap 10 set peer 202.100.1.1
crypto map crymap 10 set ikev1 transform-set transet
crypto map crymap 10 set reverse-route
crypto map crymap interface Outside
⑤在接口上启用ikeV1:
crypto ikev1 enable Outside
六.透明防火墙策略配置:
A.开启icmp审查:
policy-map global_policy
class inspection_default
 inspect icmp
service-policy global_policy global
access-list inside extended permit icmp any any
---如果inside口没有配置ACL,仅需配置ICMP审查就可以,一旦配置了ACL,那么ACL中必须明确放行所有需要通过的流量,否则仅仅配置审查是没有用的。
B.针对DHCP流量:
access-list inside extended permit udp host 0.0.0.0 eq 68 host 255.255.255.255 eq 67
access-list outside extended permit udp host 10.1.1.2 eq 67 host 255.255.255.255 eq 68
---DHCP客户端发出的UDP包源端口为68,目标端口为67
---DHCP服务器端回应的UDP包的源端口为67,目标端口为68
C.针对OSPF流量:
access-list outside extended permit ospf host 10.1.1.2 host 224.0.0.5
access-list outside extended permit ospf host 10.1.1.2 10.1.1.0 255.255.255.0

access-list inside extended permit ospf 10.1.1.0 255.255.255.0 host 224.0.0.5
access-list inside extended permit ospf 10.1.1.0 255.255.255.0 host 10.1.1.2
D.在两个方向应该策略:
access-group outside in interface Outside
access-group inside in interface Inside
七.验证:
A.***:
ASA开启telnet
telnet 192.168.1.0 255.255.255.0 Outside
R1#telnet 10.1.1.10 /source-interface loopback 0
Trying 10.1.1.10 ... Open


User Access Verification

Password:
Type help or '?' for a list of available commands.
ciscoasa> en
Password: *****
ciscoasa#

B.DHCP:
R3(config-if)#
*Mar  1 06:08:57.974: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 10.1.1.1, mask 255.255.255.0, hostname R3

C.OSPF:
R2#SHOW IP OSpf NEIghbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
3.3.3.3           1   FULL/BDR        00:00:30    10.1.1.1        Ethernet0/1

R3#SHOW ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
2.2.2.2           1   FULL/DR         00:00:33    10.1.1.2        Ethernet0/0

weixin_34037515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asa842 bin
04-01
cisco asa842 bin文件 思科防火内核文件
ASA842.rar
04-13
GNS3模拟ASA所需,包含asa842-initrd和asa842-vmlinuz,亲测可用
ASA842双链路SLA配置测试
weixin_34306593的博客
06-29 274
一.概述: 实际工作中估计会碰到需要用一台ASA接两家ISP线路,比如电信和网通,而又没有足够的预算买负载均衡设备,但是又想实现链路负载分担和自动切换,从电信来的流量,从电信线路回去,从网通来的流量从网通线路回去,当其中一条线路出现故障时,所有的流量从没有出现故障线路走。二.基本思路:A.用OSPF模拟运营商网络,主要是为了不想手工添加路由B.通过添加默认路由走电信线路、监控电信线路的网关,和高...
ASA透明防火_06
weixin_34268610的博客
07-01 301
透明防火很明显转发方式不同,功能也有些限制(毕竟不能当路由器用了),访问控制技术都有效流量处理添加源mac到mac地址表中若mac表中存在目的mac则转发若无则尝试查询在同一网段,发arp请求不在同一网段,ping该IP配置要求内外接口直连网络必须在相同的子网内部,每一个接口必须在不同的VLAN必须要配置一个网管IP (重要),可以指定一个特定接口抵达的IP...
ASA多模_透明最小配置
weixin_33749131的博客
06-30 282
ASA mode multiple ---查看 show mode firewall transparent ---查看 show firewall hostname ASA ---的命名 interface Ethernet0/0 ---四个接口no shutdown ! interface Ether...
OSPF区域DHCP配置实验.docx
02-24
实验目的在于熟悉和掌握OSPF协议在不同类型的区域(包括普通区域、Stub区域和NSSA区域)中的配置,以及如何结合DHCP服务进行网络配置。通过对比不同区域的路由表,可以理解这些区域之间的差异和各自的特点。 实验...
ns-simple.rar_*.tcl_Simple ns_simple
09-24
2. **网络协议配置**:可能包括数据包传输协议(如TCP或UDP)、路由协议(如RIP或OSPF),以及各种服务质量(QoS)参数。 3. **流量生成**:脚本会定义源节点向目标节点发送数据包的方式,包括数据包的大小、速率和...
dhcp vtp ospf.pkt
03-17
一个我已经完成的拓扑图,里面包含dhcp vtp ospf stp vlan 等,下载没有代码,只能测试连通性,部分代码在我博客里面,由于在做商业区是遇到了很多困难,没有及时复制代码,请自行脑补或者私聊一下询问我。...
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换、acl、dhcpospf……)
01-09
在实验分析阶段,需要检查配置是否正确,通过命令如`display interface`来查看接口状态,确保链路聚合正常工作,通过`ping`测试VLAN间通信是否畅通。此外,还需要验证NAT转换、ACL控制和DHCP服务是否按预期运行。...
DHCP OSPF DNS RIP 交换机等配置
05-03
DHCP(动态主机配置协议)是网络管理员用来自动分配IP地址、子网...在实践中,可以创建各种网络拓扑,测试路由协议的性能,验证DNS查询和响应过程,以及观察DHCP如何自动分配IP地址,从而提升网络工程师的技能和经验。
asa842.zip
05-12
解压后有asa842-initrd和asa842-vmlinuz配合优化模拟器GNS3,可以搭建很好的网络环境,做安全测试。 好资源推荐给大家。
Cisco的ASA842镜像
01-03
Cisco的ASA842镜像,经测试可用
asa 842 ios下载
06-18
详细配置GNS3 ASA的配置信息,欢迎下载
asa842解压包文件
01-25
asa842解压包文件,包含asa842-initrd、asa842-vmlinuz,真是可用,防火
ASA842镜像 for GNS3.rar
05-09
ASA842镜像 for GNS3
ASA 透明模式
weixin_34166847的博客
07-25 485
透明模式只支持两个接口,透明模式也可以用multi-context注意透明模式没有nat,没有路由1. 3层流量要明确放行ospf,eigrp),要想跨防火建邻居,两边都要permit2. 直连的outside和inside网络必须属于相同子网3. 必须要配置一个网管ip地址,必须~~~ 4网管ip和内外网ip在同一段.5. 管理ip不能做内网网关6. 可以配置网关,...
ASA842只允许内网主动发起访问的流量进行PAT测试
weixin_34241036的博客
03-05 234
一.需求1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址二.解决方案1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转...
ASA防火透明模式的使用及配置
Stephen_jj的博客
05-11 7595
ASA防火透明模式的使用及配置 本篇讲一下ASA防火透明模式的使用和实例配置分析,这篇之前我讲的所以内容都是路由模式进行配置的,透明模式在ASA防火有着不同的用法。下面我们具体分析一下。 透明模式的介绍 我们知道路由模式一般是部署在三层设备之间的,即充当防火流量限制隔离,也能做路由的限制。而透明模式一般部署在二层之间的设备,充当交换机,但仍能做区域隔离。下面介绍其几个特性。 透明模式的优缺点 易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。 允许非IP流量穿
GNS3可用的CISCO ASA842镜像文件
11-01
含有两个文件asa842-vmlinuz 和asa842-initrd,亲测可用!
**OSPF协议如何确保报文传输的可靠性呢?**
最新发布
03-03
OSPF(Open Shortest Path First)是一种用于路由的动态路由协议,它确保报文传输的可靠性主要通过以下几个方面: 1. 邻居关系建立:OSPF协议通过邻居关系建立过程来确保报文传输的可靠性。在OSPF网络中,路由器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值