Asa配置大全

1、ASA基本配置

静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99

配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside

配置telnet超时时间：telnet timeout 5

配置本地认证telnet与console：aaa authentication telnet console LOCAL

配置SSH生成密钥对：

aaa authentication ssh console LOCAL

ciscoasa(config)# crypto key generate rsa

INFO: The name for the keys will be:

Keypair generation process begin. Please wait...

ciscoasa(config)#

配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside

配置允许ASDM管理：

http server enable

http 192.168.10.0 255.255.255.0 inside

asdm image disk0:/asdm-602.bin

username cisco password cisco privilege 15

配置PAT：

nat (inside) 1 192.168.10.0 255.255.255.0

global (outside) 1 interface

配置端口映射：

access-list to_server extended permit tcp any host 192.168.1.99 eq www

access-group to_server in interface outside

static (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255

配置ACL：

access-list to_server extended permit tcp any host 192.168.1.99 eq www

access-group to_server in interface outside

配置允许ICMP穿越：

policy-map global_policy

class inspection_default

inspect icmp

配置URL过滤：

url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5

filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow

日志管理：

开启logging：logging enable

开启console日志：logging console 7

将日志发送到日志服务器：

logging trap 7

logging host inside 192.168.10.98

配置IPS：

ip audit name zxd info action alarm

ip audit name cisco attack action alarm

ip audit interface outside zxd

ip audit interface outside cisco

2、VPN配置

ASA IPSec L2L配置：

access-list nonat extended permit ip 192.168.10.0 255.255.255.0 192.168.100.0 255.255.255.0 nat (inside) 0 access-list nonat

crypto ipsec transform-set cisco esp-des esp-none

crypto map cisco 10 match address nonat

crypto map cisco 10 set peer 192.168.1.96

crypto map cisco 10 set transform-set cisco

crypto map cisco interface outside

crypto isakmp enable outside

crypto isakmp policy 1

authentication pre-share

encryption des

hash sha

group 1

tunnel-group 192.168.1.96 type ipsec-l2l

tunnel-group 192.168.1.96 ipsec-attributes

pre-shared-key cisco

ASA Remote VPN Server配置：

ip local pool vpnpool 192.168.2.250-192.168.2.254

group-policy vpntest internal

group-policy vpntest attributes

vpn-tunnel-protocol IPSec

username zhong password xiaodong

tunnel-group vpntest type remote-access

tunnel-group vpntest general-attributes

address-pool vpnpool

default-group-policy vpntest

tunnel-group vpntest ipsec-attributes

pre-shared-key cisco

crypto ipsec transform-set cisco esp-des esp-md5-hmac crypto dynamic-map vpntest 1 set transform-set cisco crypto dynamic-map vpntest 1 set reverse-route crypto map cisco 1 ipsec-isakmp dynamic vpntest crypto map cisco interface outside

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption aes

hash sha

group 2

RADIUS认证用户：

aaa-server vpntest protocol radius

aaa-server vpntest (outside) host 192.168.1.100

key cisco

tunnel-group vpntest general-attributes authentication-server-group (outside) vpntest

ASA SSL VPN配置

ip local pool vpnpool 192.168.2.200-192.168.2.210 username zhong password xiaodong

webvpn

enable outside

svc image disk0:/sslclient-win-1.1.3.173.pkg

svc enable

tunnel-group-list enable

group-policy webvpn internal

group-policy webvpn attributes

vpn-tunnel-protocol svc webvpn

webvpn

svc ask enable

tunnel-group webvpn type remote-access

tunnel-group webvpn general-attributes

address-pool vpnpool

default-group-policy webvpn

tunnel-group webvpn webvpn-attributes

group-alias hnebony enable

IOS SSL VPN配置

aaa new-model

aaa authentication login vpnauthen local

username zhong password xiaodong

ip local pool vpnpool 192.168.20.200 192.168.20.254

interface loopback 0

ip address 192.168.20.1 255.255.255.0

exit

webvpn install svc disk0:/webvpn/svc.pkg

webvpn gateway out

ip address 192.168.1.99

inservice

webvpn context vpntest

policy group vpntest

functions svc-enabled

svc address-pool vpnpool

svc split include 192.168.0.0 255.255.0.0

exit

default-group-policy vpntest

aaa authentication list vpnauthen

gateway out

inservice

IOS Easy VPN Server配置:

aaa new-model

aaa authentication login vpnauthen local

aaa authorization network vpnauthor local

username zhong password xiaodong

ip local pool vpnpool 192.168.20.200 192.168.20.254

ip access-list extended split

permit ip 192.168.0.0 0.0.255.255 192.168.20.0 0.0.0.255 crypto isakmp policy 1

authentication pre-share

hash md5

group 2

crypto isakmp client configuration group vpntest

key cisco

pool vpnpool

acl split

crypto ipsec transform-set cisco esp-aes esp-sha-hmac crypto dynamic-map vpndymap 1

set transform-set cisco

reverse-route

crypto map vpntest client authentication list vpnauthen crypto map vpntest client configuration address respond crypto map vpntest isakmp authorization list vpnauthor crypto map vpntest 10 ipsec-isakmp dynamic vpndymap inter f0/0

crypto map vpntest

使用ACS认证与授权：

aaa authentication login vpnauthen group radius

aaa authorization network vpnauthor group radius

radius-server host 192.168.1.100 auth-port 1645 acct-port 1646 key cisco

RADIUS (IETF)选中6、64、65、69、81.

建立用户：vpntest（vpn组路由器配置crypto isakmp client configuration group vpntest可以取消）

然后建立用户

IOS Easy VPN Client配置:

crypto ipsec client ezvpn vpntest

mode client

connect auto

peer 192.168.10.1

group vpntest key cisco

username zhong password xiaodong

interface f0/0

crypto ipsec client ezvpn vpntest

interface f1/0

crypto ipsec client ezvpn vpntest inside R1#crypto ipsec client ezvpn xauth

Username: zhong

Password:

3、802.1X认证

aaa new-model

aaa authentication dot1x default group radius aaa authorization network default group radius radius-server host 192.168.1.100 key cisco dot1x system-auth-control

interface f0/1

dot1x port-control auto

指定VLAN：

4、RSTP

Alternate port—Offers an alternate path toward the root switch to that provided by the current root port.

Backup port—Acts as a backup for the path provided by a designated port toward the leaves of the spanning tree. A backup port can exist only when two ports are connected in a loopback by a point-to-point link or when a switch has two or more connections to a shared LAN segment.

Edge ports—If you configure a port as an edge port on an RSTP switch by using the spanning-tree portfast interface configuration command, the edge port immediately transitions to the forwarding state. An edge port is the same as a Port Fast-enabled port, and you should enable it only on ports that connect to a single end station.

Root ports—If the RSTP selects a new root port, it blocks the old root port and immediately transitions the new root port to the forwarding state.

Point-to-point links—If you connect a port to another port through a point-to-point link and the local port becomes a designated port, it negotiates a rapid transition with the other port by using the proposal-agreement handshake to ensure a loop-free topology. As shown in Figure 18-4, Switch A is connected to Switch B through a point-to-point link, and all of the ports are in the blocking state. Assume that the priority of Switch A is a smaller numerical value than the priority of Switch B. Switch A sends a proposal message (a configuration BPDU with the proposal flag set) to Switch B, proposing itself as the designated switch. After receiving the

proposal message, Switch B selects as its new root port the port from which the proposal

message was received, forces all nonedge ports to the blocking state, and sends an agreement message (a BPDU with the agreement flag set) through its new root port. After receiving Switch B’s agreement message, Switch A also immediately transitions its designated port to the forwarding state. No loops in the network are formed because Switch B blocked all of its nonedge ports and because there is a point-to-point link between Switches A and B. When Switch C is connected to Switch B, a similar set of handshaking messages are exchanged.

Switch C selects the port connected to Switch B as its root port, and both ends immediately transition to the forwarding state. With each iteration of this handshaking process, one more switch joins the active topology. As the network converges, this proposal-agreement handshaking progresses from the root toward the leaves of the spanning tree. The switch learns the link type from the port duplex mode: a full-duplex port is considered to have a point-to-point connection; a half-duplex port is considered to have a shared connection. You can override the default setting that is controlled by the duplex setting by using the spanning-tree link-type interface configuration command.

5、时间访问列表

time-range zxd

absolute start 08:30 24 August 2009 end 18:00 01 September 2009

time-range cisco

periodic daily 8:00 to 18:00

access-list 110 permit ip any any time-range cisco

6、QOS

CAR：rate-limit input access-group 101 1000000 3000 4000 conform-action transmit exceed-action drop

GTS：

class-map match-all cisco

match access-group 101

!

!

policy-map cisco

class cisco

police cir 500000 bc 10000 pir 1000000 be 10000

conform-action transmit

exceed-action set-prec-transmit 2

violate-action drop

interface f1/0

service-policy output cisco

CBWFQ:

class-map match-all cbwfq

match access-group 101

policy-map cbwfq

class cbwfq

priority percent 60

interface f1/0

service-policy output cbwfq

7、NA T-T

8、标准化

产品特色：1定位准确，以就业为导向。2突出使用，以问题为核心。3目标教学法，符合网络行业工作特点和学习规律。4科学完善的职业素质训练体系。

9、

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco_ASA5520防火墙配置

tb23-asa# sh run : Saved : ASA Version 8.0(2) ! hostname tb23-asa enable password jDUXMyqeIzxQIVgK encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 200.200.200.124 255.255.255.128 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.10.10.9 255.255.255.252 ! interface Ethernet0/2 shutdown nameif inside-2 security-level 100 no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd jDUXMyqeIzxQIVgK encrypted boot config disk0:/.private/startup-config ftp mode passive access-list out-in extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu inside-2 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable

ASA5520防火墙双机配置

ASA5520防火墙的安装配置说明 一、通过超级终端连接防火墙。 先将防火墙固定在机架上，接好电源；用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意：该线缆是扁平的，一端是RJ-45接口，要接在防火墙的console端口；另一端是串口，要接到笔记本的串口上. 建立新连接，给连接起个名字。 选择COM口，具体COM1还是COM3应该根据自己接的COM来选择，一般接COM1就可以。

选择9600,回车就可以连接到命令输入行。 二、防火墙提供4种管理访问模式： 1．非特权模式。防火墙开机自检后，就是处于这种模式。系统显示为firewall> 2．特权模式。输入enable进入特权模式，可以改变当前配置。显示为firewall# 3．配置模式。在特权模式下输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为firewall(config)# 4．监视模式。 PIX防火墙在开机或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 三、基本配置步骤 在PC机上用串口通过cisco产品控制线连接防火墙的Console口（9600-N-8-1），使用超级终端连接。 在提示符的后面有一个大于号“>”，你处在asa用户模式。使用en或者enable命令修改权限模式。 asafirewall> en //输入en 或 enable 回车 Password： //若没有密码则直接回车即可 asafirewall# //此时便拥有了管理员模式，此模式下可以显示内容但不能配置，若要配置必须进入到通用模式 asafirewall# config t // 进入到通用模式的命令 asafirewall(config)# hostname sjzpix1 //设置防火墙的名称 Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10 Sjzpix1(config)# enable password zxm10 //设置启动模式口令，用于获得管理员模式访问 1．配置各个网卡

ASA防火墙基本配置

一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。 较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。

Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度，描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品，同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开，在使用Console配置后，可以选择开启 开启命令：telnet ip_addressnetmaskif_name 连接命令：telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式，需要特权密码

●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式，到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写，只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ？Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置，具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置：ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口，一个Aux口，4个千兆网口 ●支持并发：280000个 ●支持VPN个数：150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp

ASA防火墙基本配置

第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的： 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.sodocs.net/doc/1c7428130.html,.，在Out上建立站点https://www.sodocs.net/doc/1c7428130.html,，并配置DNS服务，负责解析https://www.sodocs.net/doc/1c7428130.html,(202.0.0.253/29)和https://www.sodocs.net/doc/1c7428130.html,（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 （一）路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh

int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置：静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过， (Config)# Access-list 111 permit icmp any any

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

CISCO ASA5520的基本配置

CISCO ASA5520的基本配置 1、配置接口：interface、名字：nameif、IP address、security-level nameif 是我们为这个接口指定的具体名字。 security-level表示这个接口的安全等级。一般情况下，可以把企业内部接口的安全等级可以设置的高一点，而企业外部接口的安全等级则可以设置的低一点。如此的话，根据防火墙的访问规则，安全级别高的接口可以防卫安全级别低的接口。也就是说，不需要经过特殊的设置，企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络，由于是安全级别低的接口访问安全级别高的接口，则必须要要进行一些特殊的设置，如需要访问控制列表的支持 ；这里是配置外网的接口，名字是outside，安全级别0，IP地址我隐藏了。输入ISP给您提供的地址就行了。 interface GigabitEthernet0/0 nameif outside security-level 0 ip address *.*.*.* 255.255.255.0 ；这里是配置内网的接口 interface GigabitEthernet0/1 nameif inside security-level 100 ip address 172.19.12.2 255.255.255.0 ! 2、网络部分设置 global (outside) 1 interface /*所有IP访问外网全部转换成该端口的IP出去，即PAT nat (inside) 1 0.0.0.0 0.0.0.0 /*表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围 route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*设置外网路由的网关，最后的1是路由的跳数route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*设定路由回指到内部的子网route inside 172.19.76.0 255.255.252.0 172.19.12.1 1 3、!开启asdm http server enable

asa5520防火墙透明模式的配置例子

asa5520防火墙透明模式的配置例子 ciscoasa# sh run : Saved : ASA Version (3) ! firewall transparent hostname ciscoasa domain-name enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif

no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address management-only ! passwd encrypted ftp mode passive dns server-group DefaultDNS domain-name access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any access-list acl_outside extended permit tcp any any eq 3306 access-list acl_outside extended permit tcp any any eq www access-list acl_outside extended permit tcp any any eq 8080 access-list acl_outside extended permit tcp any any eq https access-list acl_outside extended permit tcp any any eq sqlnet

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过） access-list 102 extended permit ip any any ------------------设置ACL列表（允许所有IP全部通过）

ASA防火墙配置命令-王军

ASA防火墙配置命令（v1.0） 版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置（ssl vpn） (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

ASA防火墙疑难杂症与Cisco ASA 防火墙配置

ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做 inspect，对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器 因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载： modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA，则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器 同样需要inspect ftp，有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用，如查进行ipsect ：IPSec Pass Through 5. 内网不能访问DMZ区服务器 增加NAT规则，即DMZ到内网的规则 6. 内网用户不能ping web服务器

asa5520防火墙透明模式

asa5520防火墙透明模式的配置例子 2010-01-13 10:49 ciscoasa# sh run : Saved : ASA Version 7.2(3) ! firewall transparent hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any

ciscoASA防火墙配置 - 基本配置过程

Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm

拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由

Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 （1）telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 （2）ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 （3）asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 （1）创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 （2）因为防火墙默认把禁止外网访问DMZ区，所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside

asa防火墙基本配置管理

asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

asa防火墙命令详解

常用命令有：nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmark global_mask]：表示全局ip地址的网络掩码。 nat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中： (if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global命令定义。 local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]：表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法： route (if_name) 0 0 gateway_ip [metric] 其中： (if_name)：表示接口名称。 0 0 ：表示所有主机 Gateway_ip：表示网关路由器的ip地址或下一跳。 [metric]：路由花费。缺省值是1。 static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外，外边的顺序是先外后内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址******************************************************************** ******

Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯

,实例需求：Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯 拓扑图： 配置实例： [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10，安全及别99，分配地址 vlan 10 nameif Test1 security-level 99 ip address 10.8.128.254 255.255.255.0

! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20，安全及别98，分配地址 vlan 20 nameif Test2 security-level 98 ip address 10.8.129.254 255.255.255.0 ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30，安全及别97，分配地址 vlan 30 nameif Test3 security-level 97 ip address 10.8.130.254 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表，允许全通过，为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any access-list acl_Test3 extended permit ip any any access-list nonat extended permit ip any any // 这个acl是用在bypass nat所用* pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu Test1 1500 mtu Test2 1500 mtu Test3 1500 failover