ciscoasa5505基本配置.docx
《ciscoasa5505基本配置.docx》由会员分享,可在线阅读,更多相关《ciscoasa5505基本配置.docx(11页珍藏版)》请在冰豆网上搜索。
ciscoasa5505基本配置
cisco-asa-5505基本配置
interfaceVlan2
nameifoutside —--——---—------—-———-—————----—-—-—-—-—-对端口命名外端口
security-level0 --—-————-——-—--—-———-—-—————-----———----设置端口等级
ipaddressX.X.X.X255.255.255.224 ----—--——--————----—调试外网地址
!
interfaceVlan3
nameifinside -—---———---——----———————-—----———-----——对端口命名内端口
security-level100 ———-——----—-——-—---——-——--—-———--—-———--调试外网地址
ipaddress192。
168.1。
1255.255.255。
0 ——-————--—————-----—设置端口等级
!
interfaceEthernet0/0
switchportaccessvlan2 —-—-—-———-—--—--—-——----——--——-——-—-—---设置端口VLAN与VLAN2绑定
!
interfaceEthernet0/1
switchportaccessvlan3 —-————--—----——-—-------——-—-—--——-——--—设置端口VLAN与VLAN3绑定
!
interfaceEthernet0/2
shutdown
!
interfaceEthernet0/3
shutdown
!
interfaceEthernet0/4
shutdown
!
interfaceEthernet0/5
shutdown
!
interfaceEthernet0/6
shutdown
!
interfaceEthernet0/7
shutdown
!
passwd2KFQnbNIdI。
2KYOUencrypted
ftpmodepassive
dnsdomain-lookupinside
dnsserver-groupDefaultDNS
name—server211。
99.129.210
name—server202。
106.196.115
access-list102extendedpermiticmpanyany -—--——-——-———---—-设置ACL列表(允许ICMP全部通过)
access-list102extendedpermitipanyany —---——--——---—--—-设置ACL列表(允许所有IP全部通过)
pagerlines24
mtuoutside1500
mtuinside1500
icmpunreachablerate-limit1burst-size1
noasdmhistoryenable
arptimeout14400
global(outside)1interface —--——--——---——————-——-—-——-—-————--——-——设置NAT地址映射到外网口
nat(inside)10。
0。
0。
00。
0.0.0 0-—————--——-——-----———-—----------NAT地址池(所有地址)0无最大会话数限制
access-group102ininterfaceoutside -—-————--—--———-——―――设置ACL列表绑定到外端口
routeoutside0。
0。
0.00.0。
0。
0x。
x。
x.x1 -----—-—---———-—--设置到外网的默认路由
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half—closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsunrpc0:
10:
00h3230:
05:
00h2251:
00:
00mgcp0:
05:
00mgcp-pat0:
05:
00
timeoutsip0:
30:
00sip_media0:
02:
00sip—invite0:
03:
00sip-disconnect0:
02:
00
timeoutuauth0:
05:
00absolute
nosnmp—serverlocation
nosnmp-servercontact
snmp—serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
telnet0.0。
0。
00。
0。
0。
0inside ----—-——---—-———--—-—-—————-——--—--———-—设置TELNET所有地址进入
telnettimeout5
ssh0.0。
0。
00.0.0。
0outside ———-———--—-—--————--——-——---—-———---—-——设置SSH所有地址进入
sshtimeout30
sshversion2
consoletimeout0
!
dhcpdaddress192.168。
1.100—192。
168.1.199inside -———-——---—----——-设置DHCP服务器地址池
dhcpddns211.99.129.210202。
106。
196.115interfaceinside ———-—--—--——-——-—-设置DNS服务器到内网端口
dhcpdenableinside —--—-—--—--——--————————--—----—--——-———--—————--——-——-———-—-——设置DHCP应用到内网端口
!
前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵。
没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的。
CiscoASA5505配置
cisco,config,telnet,防火墙,Cisco
1。
配置防火墙名
ciscoasa〉enable
ciscoasa#configureterminal
ciscoasa(config)#hostnameasa5505
2。
配置telnet
asa5505(config)#telnet192。
168。
1。
0255.255.255。
0inside↑//允许内部接口192.168.1.0网段telnet防火墙
3.配置密码
asa5505(config)#passwordcisco--———-—--—-——---—-远程密码
asa5505(config)#enablepasswordcisco--—-———-—---———--—特权模式密码
4.配置IP
asa5505(config)#interfacevlan2--————-—--—-———---进入vlan2
asa5505(config—if)#ipaddress218。
16.37.222255。
255。
255.192-——-——-----———---—vlan2配置IP
asa5505(config)#showipaddressvlan2--—-————————-——--—验证配置
5.端口加入vlan
asa5505(config)#interfacee0/3—--———----——--—---进入接口e0/3
asa5505(config—if)#switchportaccessvlan3-—-——-—-————-—--——接口e0/3加入vlan3
asa5505(config)#interfacevlan3-—-—--—---————--—-进入vlan3
asa5505(config-if)#ipaddress10.10.10.36255。
255。
255。
224—--—-——-——-——————-vlan3配置IP
asa5505(config-if)#nameifdmz---————-—————-----vlan3名
asa5505(config-if)#noshutdown———--——--—---—---—开启
asa5505(config-if)#showswitchvlan——-—--——--————-——-验证配置
6.最大传输单元MTU
asa5505(config)#mtuinside1500-----——————-———-——inside最大传输单元1500字节
asa5505(config)#mtuoutside1500——-—-——----——---——outside最大传输单元1500字节
asa5505(config)#mtudmz1500——---————-——---———dmz最大传输单元1500字节
7.配置arp表的超时时间
asa5505(config)#arptimeout14400——-————-—-——-——-——arp表的超时时间14400秒
8.FTP模式
asa5505(config)#ftpmodepassive-—-—---—---—————--FTP被动模式
9.配置域名
asa5505(config)#domain—nameC
10.启动日志
asa5505(config)#loggingenable--———-—-—-----—-—-启动日志
asa5505(config)#loggingasdminformational———-—---—---—----—启动asdm报告日志
asa5505(config)#Showlogging—-——-—--——----—-—-验证配置
11。
启用http服务
asa5505(config)#httpserverenable --—-—------——-——--启动HTTPserver,便于ASDM连接.
asa5505(config)#http0。
0。
0.00.0。
0.0outside —-—-——--—-—-------对外启用ASDM连接
asa5505(config)#http0。
0。
0.00。
0。
0.0inside -——-—-——-—--——----对内启用ASDM连接
12。
控制列表
access—listacl_outextendedpermittcpanyanyeqwww---—-——---——-—---—允许tcp协议80端口入站
access-listacl_outextendedpermittcpanyanyeqhttps—--—-—--——--——--——允许tcp协议443端口入站
access-listacl_outextendedpermittcpanyhost218.16。
37.223eqftp
↑//允许tcp协议21端口到218。
16。
37。
223主机
access-listacl_outextendedpermittcpanyhost218。
16.37。
224eq3389
↑//允许tcp协议3389端口到218.16.37。
224主机
access-listacl_outextendedpermittcpanyhost218。
16。
37.225eq1433
↑//允许tcp协议1433端口到218.16。
37。
225主机
access—listacl_outextendedpermittcpanyhost218.16。
37.226eq8080
↑//允许tcp协议8080端口到218。
16。
37。
226主机
asa5505(config)#showaccess—list--———————--——-—-——验证配置
13。
设置路由
asa5505(config)#routedmz10.0.0。
0255。
0。
0。
010.10.10。
33 1
↑//静态路由到10.0.0.0网段经过10。
10。
10。
33网关跳数为1
asa5505(config)#routeoutside0.0.0。
00。
0。
0.0218.16.37.193 1
↑//默认路由到所有网段经过218。
16.37。
193网关跳数为1
asa5505#showroute--——-——----—--———-显示路由信息
14.静态NAT
asa5505(config)#static(inside,outside)218.16。
37.223192.168.1.6netmask255。
255.255.255
↑//外网218。
16.37.223映射到内网192。
168.1.6
asa5505(config)#access-listacl_outextendedpermiticmpanyany
↑//控制列表名acl_out允许ICMP协议
asa5505(config)#access—groupacl_outininterfaceoutside
↑//控制列表acl_out应用到outside接口
asa5505(config)#static(inside,dmz)10。
10.10.37192.168。
1.16 netmask255。
255.255。
255
↑//dmz10.10.10.37映射到内网192。
168.1.16
asa5505(config)#access—listacl_dmzextendedpermiticmpanyany
↑//控制列表名acl_dmz允许ICMP协议
asa5505(config)#access—groupacl_dmzininterfacedmz——-—-——----——-—-—控制列表acl_out应用到dmz接口asa5505(config)#Shownat--—-—-——--——---———验证配置
15.动态NAT
asa5505(config)#global(outside) 1 218.201.35。
224—218。
201.35。
226——-————--—---—-—--定义全局地址池
asa5505(config)#nat(inside) 1 192.168。
1。
20-192.168。
1。
22--——-—-—--——-—--——内部转换地址池
asa5505(config)#showxlate——————-——--—----——验证配置
16.基于端口NAT(PAT)
asa5505(config)#global(outside) 2 interface—————--———-—-—--定义全局地址即outside地址:
218。
16。
37.222
asa5505(config)#nat(inside) 2 192.168.1。
0255.255.255.0-—-—-----————--—-—内部转换地址池
asa5505(config)#showxlate——-—-—————-—-—————验证配置
17.基于LAN故障倒换(failover)
1)。
主防火墙配置
asa5505(config)#failovermacaddroutside001a。
2b3c。
4d11001a.2b3c.4w12—---故障倒换虚拟MAC地址
asa5505(config)#failovermacaddrinside001a.2b3c。
4d21001a。
2b3c.4w22————-故障倒换虚拟MAC地址
asa5505(config)#failovermacaddrinside001a。
2b3c.4d21001a。
2b3c。
4w32—————故障倒换虚拟MAC地址
asa5505(config)#failover-----————-—---—--—启动故障倒换
asa5505(config)#failoverlanunitprimary————--——-——-—--—-—设置主要防火墙
asa5505(config)#failoverlaninterfacestandbyVlan4-—-————-—-—-—---——故障倒换接口名standby
asa5505(config)#failoverinterfaceipstandby172.168。
32.1255。
255.255。
252standby172。
168。
32.2
↑//配置主防火墙IP:
172。
168.32.1,备用防火墙IP:
172。
168。
32。
2
asa5505#showfailover-——-—————-—---—-——验证配置
2)。
备防火墙配置
asa5505(config)#failovermacaddroutside001a。
2b3c.4d11001a.2b3c.4w12--—-故障倒换虚拟MAC地址
asa5505(config)#failovermacaddrinside001a.2b3c。
4d21001a.2b3c。
4w22—-—--—故障倒换虚拟MAC地址asa5505(config)#failovermacaddrinside001a。
2b3c。
4d21001a.2b3c.4w32-—-——-故障倒换虚拟MAC地址asa5505(config)#failover———-----—-———-—-——启动故障倒换
asa5505(config)#failoverlanunitsecondary————--—-—--———---—设置备用防火墙
asa5505(config)#failoverlaninterfacestandbyVlan4-——-—-——————-—-——-故障倒换接口名standby
asa5505(config)#failoverinterfaceipstandby172。
168。
32.1255.255。
255.252standby172.168.32.2
↑//配置主防火墙IP:
172。
168。
32。
1,备用防火墙IP:
172.168.32.2
asa5505#showfailover-—--————-—-——-—---验证配置
18.显示mac地址
asa5505#showswitchmac—address-table
19.保存配置
asa5505#writememory
CiscoASA5505防火墙地址映射问题
解决前些天帮朋友配置一台CiscoASA5505防火墙,映射总是不成功。
在网上也看到很多朋友遇到了这种问题,都在寻问这个解决方法.有人已经将问题解决了,但没给出解决方案. 也许这并不是一个很复杂的难题,但我希望通过博客能帮助朋友们及时得到这个小问题的处理.
基本情况:
WAN:
221。
221。
147。
195 Gateway:
221.221。
147。
200 LAN:
192。
168.0。
1
内网中有一台服务器,地址:
192.168.0。
10 端口:
8089
故障描述:
内网可正常连接至服务器,外网无法连接. 端口映射出现问题.
解决方法:
命令行错误,已更正并解决.
问题重点:
采用"static(inside,outside)221。
221.147。
195192。
168.0.10tcp8089”映射.
目前配置如下:
ASAVersion7。
2
(2)
!
hostnameciscoasa
enablepassword8Ry2YjIyt7RRXU24encrypted
names
!
interfaceVlan1
nameifinside
security—level100
ipaddress192.168.0。
1255。
255。
255。
0
!
interfaceVlan2
nameifoutside
security—level0
ipaddress221.221。
147.195255。
255。
255.252
!
interfaceEthernet0/0
switchportaccessvlan2
!
interfaceEthernet0/1
!
interfaceEthernet0/2
!
!
interfaceEthernet0/4
!
interfaceEthernet0/5
!
interfaceEthernet0/6
!
interfaceEthernet0/7
!
passwd2KFQnbNIdI。
2KYOUencrypted
ftpmodepassive
access—list101extendedpermittcpanyhost221。
221.147.195eq8089
access-list101extendedpermiticmpanyany
access-list101extendedpermittcpanyany
access-list101extendedpermitudpanyany
pagerlines24
loggingasdminformational
mtuinside1500
mtuoutside1500
icmpunreachablerate—limit1burst-size1
noasdmhistoryenable
arptimeout14400
global(outside)1interface
static(inside,outside)221。
221。
147。
195192.168.0。
10netmask255.255.255。
255tcp80890
access-group101ininterfaceoutside
routeoutside0.0.0.00。
0。
0。
0221.221。
147。
2001
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00icmp0:
00:
02
timeoutsun
升级会员 