ASA5505详细配置Word格式.docx
《ASA5505详细配置Word格式.docx》由会员分享,可在线阅读,更多相关《ASA5505详细配置Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
interfaceEthernet0/3
interfaceEthernet0/4
interfaceEthernet0/5
interfaceEthernet0/6
interfaceEthernet0/7
passwd2KFQnbNIdI.2KYOUencrypted
ftpmodepassive
dnsdomain-lookupinside
dnsserver-groupDefaultDNS
name-server211.99.129.210
name-server202.106.196.115
access-list102extendedpermiticmpanyany
------------------设置ACL列表(允许ICMP全部通过)
access-list102extendedpermitipanyany
------------------设置ACL列表(允许所有IP全部通过)
pagerlines24
mtuoutside1500
mtuinside1500
icmpunreachablerate-limit1burst-size1
noasdmhistoryenable
arptimeout14400
global(outside)1interface
------------------设置NAT地址映射到外网口
nat(inside)10.0.0.00.0.0.0
------------------NAT地址池(所有地址)
access-group102ininterfaceoutside
------------------设置ACL列表绑定到外端口
routeoutside0.0.0.00.0.0.0x.x.x.x1
------------------设置到外网的默认路由
timeoutxlate3:
00:
00
timeoutconn1:
00half-closed0:
10:
00udp0:
02:
00icmp0:
02
timeoutsunrpc0:
00h3230:
05:
00h2251:
00mgcp0:
00mgcp-pat0:
timeoutsip0:
30:
00sip_media0:
00sip-invite0:
03:
00sip-disconnect0:
timeoutuauth0:
00absolute
nosnmp-serverlocation
nosnmp-servercontact
snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart
telnet0.0.0.00.0.0.0inside
------------------设置TELNET所有地址进入
telnettimeout5
ssh0.0.0.00.0.0.0outside
------------------设置SSH所有地址进入
sshtimeout30
sshversion2
consoletimeout0
dhcpdaddress192.168.1.100-192.168.1.199inside
------------------设置DHCP服务器地址池
dhcpddns211.99.129.210202.106.196.115interfaceinside
------------------设置DNS服务器到内网端口
dhcpdenableinside
------------------设置DHCP应用到内网端口
前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵.没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的.
CiscoASA5505配置
cisco,config,telnet,防火墙,Cisco
1.配置防火墙名
ciscoasa>
enable
ciscoasa#configureterminal
ciscoasa(config)#hostnameasa5505
2.配置telnet
asa5505(config)#telnet192.168.1.0255.255.255.0inside↑//允许内部接口192.168.1.0网段telnet防火墙
3.配置密码
asa5505(config)#passwordcisco------------------远程密码
asa5505(config)#enablepasswordcisco------------------特权模式密码
4.配置IP
asa5505(config)#interfacevlan2------------------进入vlan2
asa5505(config-if)#ipaddress218.16.37.222255.255.255.192------------------vlan2配置IP
asa5505(config)#showipaddressvlan2------------------验证配置
5.端口加入vlan
asa5505(config)#interfacee0/3------------------进入接口e0/3
asa5505(config-if)#switchportaccessvlan3------------------接口e0/3加入vlan3
asa5505(config)#interfacevlan3------------------进入vlan3
asa5505(config-if)#ipaddress10.10.10.36255.255.255.224------------------vlan3配置IP
asa5505(config-if)#nameifdmz------------------vlan3名
asa5505(config-if)#noshutdown------------------开启
asa5505(config-if)#showswitchvlan------------------验证配置
6.最大传输单元MTU
asa5505(config)#mtuinside1500------------------inside最大传输单元1500字节
asa5505(config)#mtuoutside1500------------------outside最大传输单元1500字节
asa5505(config)#mtudmz1500------------------dmz最大传输单元1500字节
7.配置arp表的超时时间
asa5505(config)#arptimeout14400------------------arp表的超时时间14400秒
8.FTP模式
asa5505(config)#ftpmodepassive------------------FTP被动模式
9.配置域名
asa5505(config)#domain-nameC
10.启动日志
asa5505(config)#loggingenable------------------启动日志
asa5505(config)#loggingasdminformational------------------启动asdm报告日志
asa5505(config)#Showlogging------------------验证配置
11.启用http服务
asa5505(config)#httpserverenable------------------启动HTTPserver,便于ASDM连接。
asa5505(config)#http0.0.0.00.0.0.0outside------------------对外启用ASDM连接
asa5505(config)#http0.0.0.00.0.0.0inside------------------对内启用ASDM连接
12.控制列表
access-listacl_outextendedpermittcpanyanyeqwww------------------允许tcp协议80端口入站
access-listacl_outextendedpermittcpanyanyeqhttps------------------允许tcp协议443端口入站
access-listacl_outextendedpermittcpanyhost218.16.37.223eqftp
↑//允许tcp协议21端口到218.16.37.223主机
access-listacl_outextendedpermittcpanyhost218.16.37.224eq3389
↑//允许tcp协议3389端口到218.16.37.224主机
access-listacl_outextendedpermittcpanyhost218.16.37.225eq1433
↑//允许tcp协议1433端口到218.16.37.225主机
access-listacl_outextendedpermittcpanyhost218.16.37.226eq8080
↑//允许tcp协议8080端口到218.16.37.226主机
asa5505(config)#showaccess-list------------------验证配置
13.设置路由
asa5505(config)#routedmz10.0.0.0255.0.0.010.10.10.33
1
↑//静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1
asa5505(config)#routeoutside0.0.0.00.0.0.0218.16.37.193
↑//默认路由到所有网段经过218.16.37.193网关跳数为1
asa5505#showroute------------------显示路由信息
14.静态NAT
asa5505(config)#static(inside,outside)218.16.37.223192.168.1.6netmask255.255.255.255
↑//外网218.16.37.223映射到内网192.168.1.6
asa5505(config)#access-listacl_outextendedpermiticmpanyany
↑//控制列表名acl_out允许ICMP协议
asa5505(config)#access-groupacl_outininterfaceoutside
↑//控制列表acl_out应用到outside接口
asa5505(config)#static(inside,dmz)10.10.10.37192.168.1.16
netmask255.255.255.255
↑//dmz10.10.10.37映射到内网192.168.1.16
asa5505(config)#access-listacl_dmzextendedpermiticmpanyany
↑//控制列表名acl_dmz允许ICMP协议
asa5505(config)#access-groupacl_dmzininterfacedmz-----------------控制列表acl_out应用到dmz接口asa5505(config)#Shownat------------------验证配置
15.动态NAT
asa5505(config)#global(outside)
1
218.201.35.224-218.201.35.226------------------定义全局地址池
asa5505(config)#nat(inside)
192.168.1.20-192.168.1.22------------------内部转换地址池
asa5505(config)#showxlate------------------验证配置
16.基于端口NAT(PAT)
asa5505(config)#global(outside)
2
interface----------------定义全局地址即outside地址:
218.16.37.222
asa5505(config)#nat(inside)
192.168.1.0255.255.255.0------------------内部转换地址池
17.基于LAN故障倒换(failover)
1).主防火墙配置
asa5505(config)#failovermacaddroutside001a.2b3c.4d11001a.2b3c.4w12----故障倒换虚拟MAC地址
asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w22-----故障倒换虚拟MAC地址
asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w32-----故障倒换虚拟MAC地址
asa5505(config)#failover------------------启动故障倒换
asa5505(config)#failoverlanunitprimary------------------设置主要防火墙
asa5505(config)#failoverlaninterfacestandbyVlan4------------------故障倒换接口名standby
asa5505(config)#failoverinterfaceipstandby172.168.32.1255.255.255.252standby172.168.32.2
↑//配置主防火墙IP:
172.168.32.1,备用防火墙IP:
172.168.32.2
asa5505#showfailover------------------验证配置
2).备防火墙配置
asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w22------故障倒换虚拟MAC地址asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w32------故障倒换虚拟MAC地址asa5505(config)#failover------------------启动故障倒换
asa5505(config)#failoverlanunitsecondary------------------设置备用防火墙
18.显示mac地址
asa5505#showswitchmac-address-table
19.保存配置
asa5505#writememory
CiscoASA5505防火墙地址映射问题
解决前些天帮朋友配置一台CiscoASA5505防火墙,映射总是不成功.在网上也看到很多朋友遇到了这种问题,都在寻问这个解决方法.有人已经将问题解决了,但没给出解决方案.也许这并不是一个很复杂的难题,但我希望通过博客能帮助朋友们及时得到这个小问题的处理.
基本情况:
WAN:
221.221.147.195Gateway:
221.221.147.200
LAN:
192.168.0.1
内网中有一台服务器,地址:
192.168.0.10端口:
8089
故障描述:
内网可正常连接至服务器,外网无法连接.端口映射出现问题.
解决方法:
命令行错误,已更正并解决.
问题重点:
采用"
static(inside,outside)221.221.147.195192.168.0.10tcp8089"
映射.
目前配置如下:
ASAVersion7.2
(2)
hostnameciscoasa
enablepassword8Ry2YjIyt7RRXU24encrypted
names
interfaceVlan1
nameifinside
security-level100
ipaddress192.168.0.1255.255.255.0
interfaceVlan2
nameifoutside
security-level0
ipaddress221.221.147.195255.255.255.252
switchportaccessvlan2
access-list101extendedpermittcpanyhost221.221.147.195eq8089
access-list101extendedpermiticmpanyany
access-list101extendedpermittcpanyany
access-list101extendedpermitudpanyany
loggingasdminformational
mtuoutside1500
global(outside)1interface
static(inside,outside)221.221.147.195192.168.0.10netmask255.255.255.255tcp80890
access-group101ininterfaceoutside
routeoutside0.0.0.00.0.0.0221.221.147.2001
00mgcp
升级会员 