asa 5505
1.配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside
//允许内部接口192.168.1.0网段telnet防火墙
3.配置密码
asa5505(config)# password cisco
//远程密码
asa5505(config)# enable password cisco
//特权模式密码
4.配置IP
asa5505(config)# interface vlan 2
//进入vlan2
asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192
//vlan2配置IP
asa5505(config)#show ip address vlan2
//验证配置
5.端口加入vlan
asa5505(config)# interface e0/3
//进入接口e0/3
asa5505(config-if)# switchport access vlan 3
//接口e0/3加入vlan3
asa5505(config)# interface vlan 3
//进入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224
//vlan3配置IP
asa5505(config-if)# nameif dmz
//vlan3名
asa5505(config-if)# no shutdown
//开启
asa5505(config-if)# show switch vlan
//验证配置
6.最大传输单元MTU
asa5505(config)#mtu inside 1500
//inside最大传输单元1500字节
asa5505(config)#mtu outside 1500
//outside最大传输单元1500字节
asa5505(config)#mtu dmz 1500
//dmz最大传输单元1500字节
7.配置arp表的超时时间
asa5505(config)#arp timeout 14400
//arp表的超时时间14400秒
8.FTP模式
asa5505(config)#ftp mode passive
//FTP被动模式
9.配置域名
asa5505(config)#domain-name Cisco.com
10.启动日志
asa5505(config)#logging enable
//启动日志
asa5505(config)#logging asdm informational
//启动asdm报告日志
asa5505(config)#Show logging
//验证配置
11.启用http服务
asa5505(config)#http server enable
//启动HTTP server,便于ASDM连接。
asa5505(config)#http 0.0.0.0 0.0.0.0 outside
//对外启用ASDM连接
asa5505(config)#http 0.0.0.0 0.0.0.0 inside
//对内启用ASDM连接
12.控制列表
access-list acl_out extended permit tcp any any eq www
//允许tcp协议80端口入站
access-list acl_out extended permit tcp any any eq https
//允许tcp协议443端口入站
access-list acl_out extended permit tcp any host 218.xxx.37.223 eq ftp
//允许tcp协议21端口到218.xxx.37.223主机
access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389
//允许tcp协议3389端口到218.xxx.37.224主机
access-list acl_out extended permit tcp any host 218.xxx.37.225 eq 1433
//允许tcp协议1433端口到218.xxx.37.225主机
access-list acl_out extended permit tcp any host 218.xxx.37.226 eq 8080
//允许tcp协议8080端口到218.xxx.37.226主机
asa5505(config)#show access-list
//验证配置
13.设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1
//静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
//默认路由到所有网段经过218.xxx.37.193网关跳数为1
asa5505# show route
//显示路由信息
14.静态NAT
asa5505(config)# static (inside,outside) 218.xxx.37.223 192.168.1.6 netmask 255.255.255.255
//外网218.xxx.37.223映射到内网192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any
//控制列表名acl_out允许ICMP协议
asa5505(config)#access-group acl_out in interface outside
//控制列表acl_out应用到outside接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255
//dmz10.10.10.37映射到内网192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any
//控制列表名acl_dmz允许ICMP协议
asa5505(config)#access-group acl_dmz in interface dmz
//控制列表acl_out应用到dmz接口
asa5505(config)#Show nat
//验证配置
15.动态NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226
//定义全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22
//内部转换地址池
asa5505(config)# show xlate
//验证配置
16.基于端口NAT(PAT)
asa5505(config)#global (outside) 2 interface
//定义全局地址即outside地址:218.xxx.37.222
asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0
//内部转换地址池
asa5505(config)# show xlate
//验证配置
17.基于LAN故障倒换(failover)
1).主防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒换虚拟MAC地址
asa5505(config)#failover
//启动故障倒换
asa5505(config)#failover lan unit primary
//设置主要防火墙
asa5505(config)#failover lan interface standby Vlan4
//故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover
//验证配置
2).备防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒换虚拟MAC地址
asa5505(config)#failover
//启动故障倒换
asa5505(config)#failover lan unit secondary
//设置备用防火墙
asa5505(config)#failover lan interface standby Vlan4
//故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover
//验证配置
18.显示mac地址
asa5505# show switch mac-address-table
19.保存配置
asa5505# write memory
20.重复PING 1000次
ciscoasa(config)# ping 202.96.133.133 repeat 1000
前一段时间在这里发了一个关于ASA NAT的配置问题,从外网通过MSTSC访问内网的一台PC
具体PC如下:
首先,在OUTSIDE的接口上允许来自ANY的地址访问这个PORT
access-list 102 extended permit tcp any host XXX.XXX.XXX.XXX eq 3389
然后做一个端口重定向
static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0
OK!从外网用远程桌面访问ASA的outside ip,可以成功登陆到内网的PC.
ASA上成功配置了静态的NAT
router#copy tftp: flash:
boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件
passwd 2KFQnbNIdI.2KYOU encrypted 設置telnet密碼
nameif outside 給接口命名
security-level 0 設置安全等級
ASA5505# write erase 清除ASA配置
route inside 192.168.60.0 255.255.255.0 192.168.10.254 添加静态路由
http server enable 启动HTTP server,便于ASDM连接。
http 0.0.0.0 0.0.0.0 outside 对外启用ASDM连接
http 0.0.0.0 0.0.0.0 inside 对内启用ASDM连接
username brianwu password CLhdP7PpHY9i8Amo encrypted 添加的用户名和密码
username fortunegao password OLuVCAGFe/2qmg4o encrypted
aaa authentication telnet console LOCAL TELNET启用AAA验证
aaa authentication http console LOCAL http启用AAA验证
username brianwu password CLhdP7PpHY9i8Amo encrypted 添加的用户名和密码
boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件
ssh 0.0.0.0 0.0.0.0 outside 对外启用SSH连接
ssh timeout 5
console timeout 0
icmp permit any echo inside 允许 这个接口返回icmp数据
1.配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside
//允许内部接口192.168.1.0网段telnet防火墙
3.配置密码
asa5505(config)# password cisco
//远程密码
asa5505(config)# enable password cisco
//特权模式密码
4.配置IP
asa5505(config)# interface vlan 2
//进入vlan2
asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192
//vlan2配置IP
asa5505(config)#show ip address vlan2
//验证配置
5.端口加入vlan
asa5505(config)# interface e0/3
//进入接口e0/3
asa5505(config-if)# switchport access vlan 3
//接口e0/3加入vlan3
asa5505(config)# interface vlan 3
//进入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224
//vlan3配置IP
asa5505(config-if)# nameif dmz
//vlan3名
asa5505(config-if)# no shutdown
//开启
asa5505(config-if)# show switch vlan
//验证配置
6.最大传输单元MTU
asa5505(config)#mtu inside 1500
//inside最大传输单元1500字节
asa5505(config)#mtu outside 1500
//outside最大传输单元1500字节
asa5505(config)#mtu dmz 1500
//dmz最大传输单元1500字节
7.配置arp表的超时时间
asa5505(config)#arp timeout 14400
//arp表的超时时间14400秒
8.FTP模式
asa5505(config)#ftp mode passive
//FTP被动模式
9.配置域名
asa5505(config)#domain-name Cisco.com
10.启动日志
asa5505(config)#logging enable
//启动日志
asa5505(config)#logging asdm informational
//启动asdm报告日志
asa5505(config)#Show logging
//验证配置
11.启用http服务
asa5505(config)#http server enable
//启动HTTP server,便于ASDM连接。
asa5505(config)#http 0.0.0.0 0.0.0.0 outside
//对外启用ASDM连接
asa5505(config)#http 0.0.0.0 0.0.0.0 inside
//对内启用ASDM连接
12.控制列表
access-list acl_out extended permit tcp any any eq www
//允许tcp协议80端口入站
access-list acl_out extended permit tcp any any eq https
//允许tcp协议443端口入站
access-list acl_out extended permit tcp any host 218.xxx.37.223 eq ftp
//允许tcp协议21端口到218.xxx.37.223主机
access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389
//允许tcp协议3389端口到218.xxx.37.224主机
access-list acl_out extended permit tcp any host 218.xxx.37.225 eq 1433
//允许tcp协议1433端口到218.xxx.37.225主机
access-list acl_out extended permit tcp any host 218.xxx.37.226 eq 8080
//允许tcp协议8080端口到218.xxx.37.226主机
asa5505(config)#show access-list
//验证配置
13.设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1
//静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
//默认路由到所有网段经过218.xxx.37.193网关跳数为1
asa5505# show route
//显示路由信息
14.静态NAT
asa5505(config)# static (inside,outside) 218.xxx.37.223 192.168.1.6 netmask 255.255.255.255
//外网218.xxx.37.223映射到内网192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any
//控制列表名acl_out允许ICMP协议
asa5505(config)#access-group acl_out in interface outside
//控制列表acl_out应用到outside接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255
//dmz10.10.10.37映射到内网192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any
//控制列表名acl_dmz允许ICMP协议
asa5505(config)#access-group acl_dmz in interface dmz
//控制列表acl_out应用到dmz接口
asa5505(config)#Show nat
//验证配置
15.动态NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226
//定义全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22
//内部转换地址池
asa5505(config)# show xlate
//验证配置
16.基于端口NAT(PAT)
asa5505(config)#global (outside) 2 interface
//定义全局地址即outside地址:218.xxx.37.222
asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0
//内部转换地址池
asa5505(config)# show xlate
//验证配置
17.基于LAN故障倒换(failover)
1).主防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒换虚拟MAC地址
asa5505(config)#failover
//启动故障倒换
asa5505(config)#failover lan unit primary
//设置主要防火墙
asa5505(config)#failover lan interface standby Vlan4
//故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover
//验证配置
2).备防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒换虚拟MAC地址
asa5505(config)#failover
//启动故障倒换
asa5505(config)#failover lan unit secondary
//设置备用防火墙
asa5505(config)#failover lan interface standby Vlan4
//故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover
//验证配置
18.显示mac地址
asa5505# show switch mac-address-table
19.保存配置
asa5505# write memory
20.重复PING 1000次
ciscoasa(config)# ping 202.96.133.133 repeat 1000
前一段时间在这里发了一个关于ASA NAT的配置问题,从外网通过MSTSC访问内网的一台PC
具体PC如下:
首先,在OUTSIDE的接口上允许来自ANY的地址访问这个PORT
access-list 102 extended permit tcp any host XXX.XXX.XXX.XXX eq 3389
然后做一个端口重定向
static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0
OK!从外网用远程桌面访问ASA的outside ip,可以成功登陆到内网的PC.
ASA上成功配置了静态的NAT
router#copy tftp: flash:
boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件
passwd 2KFQnbNIdI.2KYOU encrypted 設置telnet密碼
nameif outside 給接口命名
security-level 0 設置安全等級
ASA5505# write erase 清除ASA配置
route inside 192.168.60.0 255.255.255.0 192.168.10.254 添加静态路由
http server enable 启动HTTP server,便于ASDM连接。
http 0.0.0.0 0.0.0.0 outside 对外启用ASDM连接
http 0.0.0.0 0.0.0.0 inside 对内启用ASDM连接
username brianwu password CLhdP7PpHY9i8Amo encrypted 添加的用户名和密码
username fortunegao password OLuVCAGFe/2qmg4o encrypted
aaa authentication telnet console LOCAL TELNET启用AAA验证
aaa authentication http console LOCAL http启用AAA验证
username brianwu password CLhdP7PpHY9i8Amo encrypted 添加的用户名和密码
boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件
ssh 0.0.0.0 0.0.0.0 outside 对外启用SSH连接
ssh timeout 5
console timeout 0
icmp permit any echo inside 允许 这个接口返回icmp数据
转载于:https://blog.51cto.com/495247461/598785
扫一扫
5327
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
