思科PIX ASA 配置总结

思科 PIX ASA 配置总结 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

一： 6 个基本命令： nameif 、 interface 、 ip address 、 nat 、 global 、 route 。

二：基本配置步骤：

step1: 命名接口名字 (7 版本的配置是先进入接口再命名 )

      nameif ethernet0 outside security0

      nameif ethernet1 inside security100

      nameif ethernet2 dmz security50

step2 ： 配置接口速率

       interface ethernet0 10full auto

step3 ： 配置接口地址 (7 版本的配置是先进入直接配置 ) 。

         ip address inside 192.168.100.1 255.255.255.0

step4 ： 地址转换（必须）

* 安全高的区域访问安全低的区域（即内部到外部）需 NAT 和 global;

nat(inside) 1 192.168.1.1 255.255.255.0

global(outside) 1 222.240.254.193 255.255.255.248

―― global (outside) 1 interface  （ PAT ）

nat (inside) 0 192.168.1.1 255.255.255.255 表示 192.168.1.1 这个地址不需要转换。直接转发出去。

* 如果内部有服务器需要映射到公网地址 ( 外网访问内网 ) 则需要 static 和 conduit 或者 acl.

static (inside, outside) 222.240.254.194 192.168.1.240

static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

后面的 10000 为限制连接数， 10 为限制的半开连接数。

conduit permit tcp host 222.240.254.194 eq www any

•         ACL 实现的功能和 conduit 一样都可实现策略访问，只是 ACL 稍微麻烦点。 conduit 现在在 7 版本已经不能用了。

Access-list 101 permit tcp any host 222.240.254.194 eq www

Access-group 101 in interface outside ( 绑定到接口 )

＊＊＊允许任何地址到主机地址为 222.240.254.194 的 www 的 tcp 访问。

Step5 ： 路由定义：

Route outside 0 0 222.240.254.193 1

Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

 

＊＊如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

Step6 ： 基础配置完成，保存配置。

Write memory write erase 清空配置 Reload

实例：

nat (inside) 1 0 0

global (outside) 1 interface

static (inside,outside) tcp 220.165.45.159 www 172.17.16.25 www

access-list 101 extended permit tcp any host 192.168.1.1 eq telnet

access-group 101 in interface outside

配置 PIX 本地 SSH （非 AAA Authentication 方式）：

domain-name rtp.cisco.com （这一句必须有生成密钥必须）

crypto key generate rsa general-keys modulus 1024 // 生成 rsa 密钥非 AAA 认证必须

ssh 0.0.0.0 0.0.0.0 outside // 配置访问接口及地址范围

ssh timeout 60         // 配置 ssh 延时

passwd cisco          // 配置登陆 pix 使用的口令为 cisco

wr mem 不能保存关于 rsa key 的配置，可以使用 ca save all 来保存关于 rsa key

通过这种方式，我们不用为每一个需要登陆到 pix 的用户配置用户名，使用 SSH 客户端工具登陆 pix 的时候，默认的用户名为 pix 。

如果不希望使用 pix 作为 ssh login 的用户名，则需要下列配置

aaa authentication ssh console LOCAL

username cisco password cisco [encrypted privilege 15]

这样就可以使用用户名 cisco 来替代默认的 pix.

路由器交换机本地 SSH( 基本同上 ) 启用 SSH 登录如下

　　 ra(config)#ip ssh authentication 4  // 设置 ssh 认证重复次数为 4 ，可 0-5 之间

　　 ra(config)#line vty 0 4           // 进入 vty 模式

ra(config-line)#transport input ssh  // 设置 vty 的登录模式为 ssh ，默认 all

查看 SSH

show crypto key mypubkey rsa ( 或 show ca mypubkey rsa )// 查看本地生成的公钥。

sh ssh session        // 查看 SSH 会话。

crypto key zeroize rsa  // 清除现存 RSA KEY

配置 PPPOE

vpdn group adsl request dialout pppoe

vpdn group adsl localname *******

vpdn group adsl ppp authentication pap

vpdn username gslr password *********

dhcpd auto_config outside

转载于:https://blog.51cto.com/37767/184992