第1页 / 共11页
第2页 / 共11页
第3页 / 共11页
第4页 / 共11页
第5页 / 共11页
第6页 / 共11页
第7页 / 共11页
第8页 / 共11页
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
Cisco ASA5505 防火墙详细配置教程及实际配置案例
interface Vlan2
nameif outside ----------------------------------------对端口命名外端
口
security-level 0 ----------------------------------------设置端口等级
ip address X.X.X.X 255.255.255.224 --------------------调试外网地
址
!
interface Vlan3
nameif inside ----------------------------------------对端口命名内端
口
security-level 100 ----------------------------------------调试外网地址
ip address 192.168.1.1 255.255.255.0 --------------------设置端口等
级
!
interface Ethernet0/0
switchport access vlan 2 ----------------------------------------设置端
口 VLAN 与 VLAN2 绑定
!
interface Ethernet0/1
switchport access vlan 3 ----------------------------------------设置端口
VLAN 与 VLAN3 绑定
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 211.99.129.210
name-server 202.106.196.115
access-list 102 extended permit icmp any any ------------------
设置 ACL 列表(允许 ICMP 全部通过)
access-list 102 extended permit ip any
any ------------------设置 ACL 列表(允许所有 IP 全部通过)
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface ----------------------------------------设置
NAT 地址映射到外网口
nat (inside) 1 0.0.0.0 0.0.0.0 0---------------------------------NAT 地址
池(所有地址)0 无最大会话数限制
access-group 102 in interface outside ------------------―――
设置 ACL 列表绑定到外端口
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 ------------------设置
到外网的默认路由
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside ----------------------------------------设置
TELNET 所有地址进入
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside ----------------------------------------设置
SSH 所有地址进入
ssh timeout 30
ssh version 2
console timeout 0
!
dhcpd address 192.168.1.100-192.168.1.199
inside ------------------设置 DHCP 服务器地址池
dhcpd dns 211.99.129.210 202.106.196.115 interface
inside ------------------设置 DNS 服务器到内网端口
dhcpd enable
inside --------------------------------------------------------------设
置 DHCP 应用到内网端口
!
前几天去客户那调试 CISCO-ASA-5505 设备,第一次摸,跟 PIX 一样,呵呵.没有技术
含量,都是最基本的.其他业务配置暂时没配,会及时更新的.
Cisco ASA5505 配置
cisco, config, telnet, 防火墙, Cisco
1.配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置 telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside ↑//允许内部接口 192.168.1.0 网段
telnet 防火墙
3.配置密码
asa5505(config)# password cisco ------------------远程密码
asa5505(config)# enable password cisco ------------------特权模式密码
4.配置 IP
asa5505(config)# interface vlan 2 ------------------进入 vlan2
asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 ------------------vlan2 配置 IP
asa5505(config)#show ip address vlan2 ------------------验证配置
5.端口加入 vlan
asa5505(config)# interface e0/3 ------------------进入接口 e0/3
asa5505(config-if)# switchport access vlan 3 ------------------接口 e0/3 加入 vlan3
asa5505(config)# interface vlan 3 ------------------进入 vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 ------------------vlan3 配置 IP
asa5505(config-if)# nameif dmz ------------------vlan3 名
asa5505(config-if)# no shutdown ------------------开启
asa5505(config-if)# show switch vlan ------------------验证配置
6.最大传输单元 MTU
asa5505(config)#mtu inside 1500 ------------------inside 最大传输单元 1500 字节
asa5505(config)#mtu outside 1500 ------------------outside 最大传输单元 1500 字节
asa5505(config)#mtu dmz 1500 ------------------dmz 最大传输单元 1500 字节
7.配置 arp 表的超时时间
asa5505(config)#arp timeout 14400 ------------------arp 表的超时时间 14400 秒
8.FTP 模式
asa5505(config)#ftp mode passive ------------------FTP 被动模式
9.配置域名
asa5505(config)#domain-name Cisco.com
10.启动日志
asa5505(config)#logging enable ------------------启动日志
asa5505(config)#logging asdm informational ------------------启动 asdm 报告日志
asa5505(config)#Show logging ------------------验证配置
11.启用 http 服务
asa5505(config)#http server enable ------------------启动 HTTP server,便于 ASDM 连接。
asa5505(config)#http 0.0.0.0 0.0.0.0 outside ------------------对外启用 ASDM 连接
asa5505(config)#http 0.0.0.0 0.0.0.0 inside ------------------对内启用 ASDM 连接
12.控制列表
access-list acl_out extended permit tcp any any eq www ------------------允许 tcp 协议 80 端口入站
access-list acl_out extended permit tcp any any eq https ------------------允许 tcp 协议 443 端口入
站
access-list acl_out extended permit tcp any host 218.16.37.223 eq ftp
↑//允许 tcp 协议 21 端口到 218.16.37.223 主机
access-list acl_out extended permit tcp any host 218.16.37.224 eq 3389
↑//允许 tcp 协议 3389 端口到 218.16.37.224 主机
access-list acl_out extended permit tcp any host 218.16.37.225 eq 1433
↑//允许 tcp 协议 1433 端口到 218.16.37.225 主机
access-list acl_out extended permit tcp any host 218.16.37.226 eq 8080
↑//允许 tcp 协议 8080 端口到 218.16.37.226 主机
asa5505(config)#show access-list ------------------验证配置
13.设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1
↑//静态路由到 10.0.0.0 网段经过 10.10.10.33 网关跳数为 1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
↑//默认路由到所有网段经过 218.16.37.193 网关跳数为 1
asa5505# show route ------------------显示路由信息
14.静态 NAT
asa5505(config)# static (inside,outside) 218.16.37.223 192.168.1.6 netmask 255.255.255.255
↑//外网 218.16.37.223 映射到内网 192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any
↑//控制列表名 acl_out 允许 ICMP 协议
asa5505(config)#access-group acl_out in interface outside
↑//控制列表 acl_out 应用到 outside 接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255
↑//dmz10.10.10.37 映射到内网 192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any
↑//控制列表名 acl_dmz 允许 ICMP 协议
asa5505(config)#access-groupacl_dmz in interface dmz -----------------控制列表 acl_out 应用到
dmz 接口 asa5505(config)#Show nat ------------------验证配置
15.动态 NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226 ------------------定义全局地址
池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22 ------------------内部转换地址池
asa5505(config)# show xlate ------------------验证配置
16.基于端口 NAT(PAT)
asa5505(config)#global (outside) 2 interface ---------------- 定 义 全 局 地 址即 outside 地 址 :
218.16.37.222
asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0 ------------------内部转换地址池
asa5505(config)# show xlate ------------------验证配置
17.基于 LAN 故障倒换(failover)
1).主防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12----故障倒换虚拟
MAC 地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22-----故障倒换虚拟
MAC 地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32-----故障倒换虚拟
MAC 地址
asa5505(config)#failover ------------------启动故障倒换
asa5505(config)#failover lan unit primary ------------------设置主要防火墙
asa5505(config)#failover lan interface standby Vlan4 ------------------故障倒换接口名 standby
asa5505(config)#failover
standby 172.168.32.1 255.255.255.252
interface
ip
standby
172.168.32.2
↑//配置主防火墙 IP:172.168.32.1,备用防火墙 IP:172.168.32.2
asa5505# show failover ------------------验证配置
2).备防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12----故障倒换虚拟
MAC 地址
asa5505(config)#failovermac addr inside 001a.2b3c.4d21001a.2b3c.4w22------ 故 障 倒 换 虚 拟
MAC 地址 asa5505(config)#failover mac addr inside001a.2b3c.4d21 001a.2b3c.4w32------故障倒
换虚拟 MAC 地址 asa5505(config)#failover------------------启动故障倒换
asa5505(config)#failover lan unit secondary ------------------设置备用防火墙
asa5505(config)#failover lan interface standby Vlan4 ------------------故障倒换接口名 standby
asa5505(config)#failover
172.168.32.2
↑//配置主防火墙 IP:172.168.32.1,备用防火墙 IP:172.168.32.2
asa5505# show failover ------------------验证配置
18.显示 mac 地址
asa5505# show switch mac-address-table
19.保存配置
asa5505# write memory
Cisco ASA 5505 防火墙地址映射问题
standby 172.168.32.1 255.255.255.252
interface
ip
standby
解决前些天帮朋友配置一台 Cisco ASA5505 防火墙,映射总是不成功. 在网上也看到很多朋
友遇到了这种问题,都在寻问这个解决方法.有人已经将问题解决了,但没给出解决方
案. 也许这并不是一个很复杂的难题,但我希望通过博客能帮助朋友们及时得到这个小
问题的处理.
基本情况:
WAN: 221.221.147.195 Gateway: 221.221.147.200 LAN: 192.168.0.1
内网中有一台服务器,地址: 192.168.0.10 端口: 8089
故障描述: 内网可正常连接至服务器,外网无法连接. 端口映射出现问题.
解决方法: 命令行错误, 已更正并解决.
问题重点: 采用 "static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089"
映射.
目前配置如下:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 221.221.147.195 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit tcp any host 221.221.147.195 eq 8089
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any any
access-list 101 extended permit udp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (inside,outside) 221.221.147.195 192.168.0.10 netmask 255.255.255.255 tcp
8089 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 221.221.147.200 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:30e219cbc04a4c919e7411de55e14a64
: end
ciscoasa(config)#
------------------------------------------------------------
在找寻解决方案过程中,有朋友做了重要提示, 采用: static (inside,outside) int
192.168.0.10 tcp 8089 做映射,但出现警告提示:
WARNING: static redireting all traffics at outside interface;
WARNING: all services terminating at outside interface are disabled.
后来将命令改成: static (inside,outside) 221.221.147.195 192.168.0.10 tcp
8089 问题解决.
ASA5505 配置笔记
1.IP 地址配置
#int vlan1
#>nameif outside
#security-level 0
#ip address 172.16.1.1 255.255.0.0.
#end
#int vlan 2
#nameif insiede
#security-levlel 100
#ip address 192.168.1.1 255.255.255.0
#end
2.把端口指定到相应 VLAN 中
#int Eth0/0
#switchport access vlan 1
end
#int Eth0/1
switchport access vlan 2
end
#exit
3.配置 Http.telnet 和 ssh 管理
#username xxx password xxxxxx encrypted privilege 15
#aaa authentication enable console LOCAL
#aaa authentication telnet console LOCAL
#aaa authentication http console LOCAL
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
