搜档网
当前位置:搜档网 › ASA 主备

ASA 主备

ASA 主备
ASA 主备

百度空间| 百度首页| 登录网行天下少壮不努力,长大搞IT 主页博客相册|个人档案|好友查看文章

cisco asa 双机主备实例2009-11-27 03:01cisco asa 双机主备实例

拓扑图如下:

配置如下:

前两天为客户架设两台思科防火墙做主备

1.思科的双机主备是备机直接接管主机内存无切换感觉。

2.备机学习到的配置无法修改。

ASA 5550 A

hostname(config)# interface gi0/0

hostname(config-if)# nameif outside

hostname(config-if)# no shutdown

hostname(config-if)# ip address 1.1.1.1 255.255.255.0 standby 1.1.1.2

hostname(config)# interface gi0/1

hostname(config-if)# nameif inside

hostname(config-if)# ip address 2.2.2.2 255.255.255.0 standby 2.2.2.2

hostname(config-if)# no shutdown

hostname(config)# interface gi0/2

hostname(config-if)# nameif ha

hostname(config-if)# no shutdown

//做failover link的接口不需要做地址配置

hostname(config)# failover lan unit primary

hostname(config)# failover lan interface ha gi0/2

//定义failover link接口

hostname(config)# failover interface ip ha 3.3.3.1 255.255.255.0 standby 3.3.3.2

以下内容需要回复才能看到

hostname(config)# failover

hostname(config)# copy running-config startup-config

ASA 5550 B

hostname(config)# interface gi0/2

hostname(config-if)# nameif ha

hostname(config-if)# no shutdown

hostname(config)# failover lan unit secondary

hostname(config)# failover lan interface ha gi0/3

hostname(config)# failover interface ip ha 3.3.3.1 255.255.255.0 standby 3.3.3.2 hostname(config)# failover

hostname(config)# copy running-config startup-config

//备机很快会学到主机的配置

Cisco ASA双线接入实施策略NAT及VPN server

2009-11-27 03:19

Cisco ASA双线接入实施策略NAT及VPN server ASA双线接入实施策略NAT及VPN server

interface Ethernet0/0

nameif outside

security-level 0

ip address X.X.X.X 255.255.255.240

!

interface Ethernet0/1

nameif outside-CNC

security-level 0

ip address X.X.X.X 255.255.255.248

!

interface Ethernet0/2

nameif dmz

security-level 60

ip address X.X.X.1 255.255.255.0

!

interface Ethernet0/3

nameif inside

security-level 80

ip address X.X.X.X 255.255.255.0

object-group network ISP_CNC

network-object 58.17.128.0 255.255.128.0

network-object 58.17.160.0 255.255.252.0

network-object 58.18.0.0 255.255.0.0

network-object 58.19.0.0 255.255.128.0

network-object 58.21.0.0 255.255.0.0

network-object 58.240.0.0 255.254.0.0

network-object 58.240.63.0 255.255.255.0

network-object 58.240.166.0 255.255.255.0

network-object 58.241.73.0 255.255.255.0

network-object 58.244.0.0 255.254.0.0 ..............................

object-group network ISP_CTC

network-object 58.30.0.0 255.254.0.0

network-object 58.32.0.0 255.248.0.0

network-object 58.43.0.0 255.255.0.0

network-object 58.44.0.0 255.252.0.0

network-object 58.48.0.0 255.248.0.0

network-object 58.56.0.0 255.254.0.0

network-object 58.59.128.0 255.255.128.0

network-object 58.60.0.0 255.252.0.0

network-object 58.66.0.0 255.254.0.0

network-object 58.82.0.0 255.255.128.0

network-object 58.82.192.0 255.255.224.0 ...................

access-list ISP_CNC extended permit ip 172.20.0.0 255.255.0.0 object-group ISP_CNC

access-list ISP_CTC extended permit ip 172.20.0.0 255.255.0.0 object-group ISP_CTC

global (outside) 1 interface

global (outside) 3 X.X.X.X

global (outside-CNC) 2 interface

global (dmz) 1 172.18.12.3

nat (dmz) 1 access-list ISP_CTC

nat (dmz) 2 access-list ISP_CNC

nat (dmz) 3 0.0.0.0 0.0.0.0

nat (inside) 0 access-list nonat

nat (inside) 1 access-list ISP_CTC

nat (inside) 2 access-list ISP_CNC

nat (inside) 3 0.0.0.0 0.0.0.0

crypto ipsec transform-set Firestset esp-3des esp-md5-hmac crypto ipsec transform-set site-vpn-set esp-des esp-md5-hmac crypto dynamic-map dyn1 1 set transform-set Firestset

crypto dynamic-map dyn1 1 set reverse-route

crypto dynamic-map 800map 30 set transform-set site-vpn-set crypto map mymap 1 ipsec-isakmp dynamic dyn1

crypto map mymap 20 ipsec-isakmp dynamic 800map

crypto map mymap 30 set transform-set Firestset

crypto map mymap interface outside

crypto map mymap interface outside-CNC

crypto map mymap interface dmz

crypto isakmp identity address

crypto isakmp enable outside

crypto isakmp enable outside-CNC

crypto isakmp enable dmz

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 1

lifetime 3000

tunnel-group DefaultRAGroup ipsec-attributes

pre-shared-key *

tunnel-group group1 type ipsec-ra

tunnel-group group1 general-attributes

address-pool testpool

authentication-server-group pc-vpn

default-group-policy group1

tunnel-group group1 ipsec-attributes

pre-shared-key *

tunnel-group abcd type ipsec-l2l

tunnel-group DefaultGroup type ipsec-l2l

tunnel-group sefaultGroup type ipsec-l2l

tunnel-group RefaultGroup type ipsec-l2l

tunnel-group abcd1234 type ipsec-l2l

tunnel-group abcd1234 ipsec-attributes

pre-shared-key *

tunnel-group DefaultL2LGro type ipsec-l2l

tunnel-group group2 type ipsec-ra

tunnel-group group2 general-attributes

address-pool testpool2

authentication-server-group pc-vpn

default-group-policy group2

tunnel-group group2 ipsec-attributes

pre-shared-key *

配置如上所示,ASA做了双线之后,从内往电信或者网通访问时一切正常,也能够接策略来实施NAT,但奇怪的是外网用VPN接入电信时,一切正常。接入网通时虽然可以接入,但不能正常访问inside的业务,而inside侧则可以ping通VPN得到的地址。如果去掉nat (inside) 3 00 则VPN通过网通接入后也可以访问inside内的业务,但如果去掉nat(inside) 3 00,则部分没列出的地址段不会被翻译,从而内网访问不正常(如国外网站). 之所以使用nat(inside) 3 0 0, 主要是由于policynat不能使用deny 语句,所以默认的nat(inside) 3 00是少不了的,主要是用来命中不包含在ISP_CTC与ISP_CNC里面的地址段。曾经试过默认路由是指向网通或者电信线路,global3是定义在电信或者网通,但最终结果都是一致,即网通VPN接入后不能正常访问inside业务。inside至outside或者outside-CNC的nonat已经包含了VPN pool的地址段。

不知道哪位大虾有没做过类似的案例,不采用radware LP或者F5 link controller的设备,而实现双线接入同一防火墙,实施策略NAT及VPN server 的案例,如果有知情者,望能够告知,最近为这事急得慌。

以上配置的硬件为ASA 5510, 软件版本为7.2(2)

类别:asa专题 | 添加到搜藏 | 分享到i贴吧 | 浏览(54) | 评论 (0)

类别:asa专题| 添加到搜藏| 分享到i贴吧| 浏览(24) | 评论(1) 上一篇:从细小处开始你的请求下一篇:Cisco ASA双线接入实施策略NA T及... 相关文章:?cisco asa

IPSEC VPN split-tunn...?Cisco Asa 模拟器简单说明

?CISCO ASA防火墙ASDM安装和配置?NETWORK APPLIANCE 备品备件...

?Cisco ASA SSL VPN远程访问设置...?CISCO PIX/ASA NA T的配置?ASA Cisco SSL VPN 配置详解?Cisco ASA设备绕过HTML重写规则...

?Cisco ASA SSL VPN 配置详解?转Cisco PIX /ASA防火墙密码恢...

更多>>

最近读者:登录后,您就出现在这里。

网友评论:1 匿名网友2009-12-10 00:55 | 回复能讲一下原因吗

发表评论:姓名:注册| 登录*姓名最长为50字节

网址或邮箱:(选填)

内容:插入表情▼闪光字

验证码:请点击后输入四位验证码,字母不区分大小写

看不清?

取消回复

?2009 Baidu

机房设备购销合同

购销合同 合同号:KSSB011025-011 甲方:传真: 乙方:传真: 经过双方友好协商,甲乙双方建立在相互信任的基础上,本着平等互利的原则,根据中华人民共和国合同法规定,签订此采购合同。 一、项目 1.设备部分

供货期限: 自合同签定日起25个工作日 三、 验收标准: 按照产品原厂包装箱说明标准。 四、 付款方式 甲方应在合同签定之日起 3个工作日内预付本合同所有款项 70%( ¥4,600,365.00 )应在验收合格之日起 30天内付清 五、责任 乙方(签章): 签字: 日期: 代理记帐业务约定书 甲方: (以下简称甲方) 乙方: (以下简称乙方) 经甲乙双方友好协商,自愿达成以下乙方为甲方提供会计代理服务相关事项的业务约定 : 一、 乙方为甲方提供以下会计代理服务:建账、记账 (总分类 账、二级明细账)、填制财务报表、税务报表、国税申报、地税申报 (含网上申报)。甲方如有其他服务要求,需在约定书中注明,口头商定无效。 30% (¥ 1,971,585.00 ),余额 乙方收到预付款3个工作日内幵始动工 应,施工路段下水道的污水处理等事项 责任何责任 五、仲裁 任何争议由甲乙双方协商解决。协商不成, ;甲方应在乙方施工前提供相应的基础设施 ,包括机房空间整理,电力供 .乙方将严格按照工期施工完工;若因为甲方原因造成工期延期 此争议可提交当地法院审理。 六、本合同一式二份,由双方签字盖章后生效 ;甲乙双方各执一份。 ,乙方不 负 甲方(签章): 签字: 日 :

二、甲方在每月25日至次月15日前,按时将本单位所发生合法的经济业务票据传给乙方(乙方可上门取送票据,每月壹次)并提供纳税申报所需要的各种印章(公章、财务章、人名章等)。因甲方票据传递、提供各种印章及税务机关要求的其他资料不及时,造成乙方延误各种纳税申报的,责任由甲方自负。 三、在甲方按时传递经济业务票据及按时提供各种印章的情况下,乙方应按时为甲方代理纳税申报,造成延误各税种申报的,责任由乙方负责。 四、乙方丢失票据,书写、计算错误而引起的税务罚款及滞纳金,责任由乙方负责;甲方账外逃税、提供的虚假票据、提供原始凭证不符合规定引起的税务责任,由甲方负责。 五、甲方的出纳每月应主动与乙方会计核对银行账及现金账余额。

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco_ASA5520防火墙配置

tb23-asa# sh run : Saved : ASA Version 8.0(2) ! hostname tb23-asa enable password jDUXMyqeIzxQIVgK encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 200.200.200.124 255.255.255.128 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.10.10.9 255.255.255.252 ! interface Ethernet0/2 shutdown nameif inside-2 security-level 100 no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd jDUXMyqeIzxQIVgK encrypted boot config disk0:/.private/startup-config ftp mode passive access-list out-in extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu inside-2 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable

ASA5520防火墙双机配置

ASA5520防火墙的安装配置说明 一、通过超级终端连接防火墙。 先将防火墙固定在机架上,接好电源;用随机带来的一根蓝色的线缆将防火墙与笔记本连接起来。注意:该线缆是扁平的,一端是RJ-45接口,要接在防火墙的console端口;另一端是串口,要接到笔记本的串口上. 建立新连接,给连接起个名字。 选择COM口,具体COM1还是COM3应该根据自己接的COM来选择,一般接COM1就可以。

选择9600,回车就可以连接到命令输入行。 二、防火墙提供4种管理访问模式: 1.非特权模式。防火墙开机自检后,就是处于这种模式。系统显示为firewall> 2.特权模式。输入enable进入特权模式,可以改变当前配置。显示为firewall# 3.配置模式。在特权模式下输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为firewall(config)# 4.监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 三、基本配置步骤 在PC机上用串口通过cisco产品控制线连接防火墙的Console口(9600-N-8-1),使用超级终端连接。 在提示符的后面有一个大于号“>”,你处在asa用户模式。使用en或者enable命令修改权限模式。 asafirewall> en //输入en 或 enable 回车 Password: //若没有密码则直接回车即可 asafirewall# //此时便拥有了管理员模式,此模式下可以显示内容但不能配置,若要配置必须进入到通用模式 asafirewall# config t // 进入到通用模式的命令 asafirewall(config)# hostname sjzpix1 //设置防火墙的名称 Sjzpix1(config)# password zxm10 //设置登陆口令为zxm10 Sjzpix1(config)# enable password zxm10 //设置启动模式口令,用于获得管理员模式访问 1.配置各个网卡

ASA防火墙基本配置

一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。

Cisco ASA5520防火墙配置

Cisco ASA5520防火墙配置 前言 ●主要从防火墙穿越的角度,描述Cisco ASA5520防火墙的配置 ●对Pix ASA系列防火墙配置具有参考意义 内容 ●防火墙与NAT介绍 ●基本介绍 ●基本配置 ●高级配置 ●其它 ●案例 防火墙与NAT介绍 ●防火墙 门卫 ●NAT 过道 ●区别 两者可以分别使用 Windows有个人防火墙 Windows有Internet Connect sharing服务 一般防火墙产品,同时带有NAT 基本介绍 ●配置连接 ●工作模式 ●常用命令 ●ASA5520介绍 配置连接 ●初次连接 使用超级终端登陆Console口 Cicso的波特率设置为9600 ●Telnet连接 默认不打开,在使用Console配置后,可以选择开启 开启命令:telnet ip_addressnetmaskif_name 连接命令:telnet 192.168.1.1 ASA5520默认不允许外网telnet,开启比较麻烦 ●ASDM连接 图形界面配置方式 ●SSH连接 工作模式 ●普通模式 连接上去后模式 进入普通模式需要有普通模式密码 Enable 进入特权模式,需要特权密码

●特权模式 Config terminal 进入配置模式 ●配置模式 ●模式转换 exit 或者ctrl-z退出当前模式,到前一模式 也适用于嵌套配置下退出当前配置 常用命令 ●命令支持缩写,只要前写到与其它命令不同的地方即可 config terminal = conf term = conf t Tab键盘补全命令 ?Or help 获取帮助 ●取消配置 no 命令取消以前的配置 Clear 取消一组配置,具体请查看帮助 ●查看配置 Show version show run [all] , write terminal Show xlat Show run nat Show run global ●保存配置 Write memory ASA5520介绍 ●硬件配置:ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz ●1个Console口,一个Aux口,4个千兆网口 ●支持并发:280000个 ●支持VPN个数:150 ●支持双机热备、负载均衡 ●可以通过show version 查看硬件信息 基本配置 ●接口配置 ●NAT配置 ●ACL访问控制 接口配置 ●四个以太网口 GigabitEthernet0/0、gig0/1、gig0/2、gig0/3 进入接口配置: interface if_name ●配置IP ip address ip_address [netmask] ip address ip_addressdhcp

ASA防火墙基本配置

第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.sodocs.net/doc/226408225.html,.,在Out上建立站点https://www.sodocs.net/doc/226408225.html,,并配置DNS服务,负责解析https://www.sodocs.net/doc/226408225.html,(202.0.0.253/29)和https://www.sodocs.net/doc/226408225.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh

int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

CISCO ASA5520的基本配置

CISCO ASA5520的基本配置 1、配置接口:interface、名字:nameif、IP address、security-level nameif 是我们为这个接口指定的具体名字。 security-level表示这个接口的安全等级。一般情况下,可以把企业内部接口的安全等级可以设置的高一点,而企业外部接口的安全等级则可以设置的低一点。如此的话,根据防火墙的访问规则,安全级别高的接口可以防卫安全级别低的接口。也就是说,不需要经过特殊的设置,企业内部网络就可以访问企业外部网络。而如果外部网络访问内部网络,由于是安全级别低的接口访问安全级别高的接口,则必须要要进行一些特殊的设置,如需要访问控制列表的支持 ;这里是配置外网的接口,名字是outside,安全级别0,IP地址我隐藏了。输入ISP给您提供的地址就行了。 interface GigabitEthernet0/0 nameif outside security-level 0 ip address *.*.*.* 255.255.255.0 ;这里是配置内网的接口 interface GigabitEthernet0/1 nameif inside security-level 100 ip address 172.19.12.2 255.255.255.0 ! 2、网络部分设置 global (outside) 1 interface /*所有IP访问外网全部转换成该端口的IP出去,即PAT nat (inside) 1 0.0.0.0 0.0.0.0 /*表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围 route outside 0.0.0.0 0.0.0.0 *.*.*.* 1 /*设置外网路由的网关,最后的1是路由的跳数route inside 172.19.74.0 255.255.254.0 172.19.12.1 1 /*设定路由回指到内部的子网route inside 172.19.76.0 255.255.252.0 172.19.12.1 1 3、!开启asdm http server enable

asa5520防火墙透明模式的配置例子

asa5520防火墙透明模式的配置例子 ciscoasa# sh run : Saved : ASA Version (3) ! firewall transparent hostname ciscoasa domain-name enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif

no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address management-only ! passwd encrypted ftp mode passive dns server-group DefaultDNS domain-name access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any access-list acl_outside extended permit tcp any any eq 3306 access-list acl_outside extended permit tcp any any eq www access-list acl_outside extended permit tcp any any eq 8080 access-list acl_outside extended permit tcp any any eq https access-list acl_outside extended permit tcp any any eq sqlnet

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过) access-list 102 extended permit ip any any ------------------设置ACL列表(允许所有IP全部通过)

ASA防火墙配置命令-王军

ASA防火墙配置命令(v1.0) 版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

ASA防火墙疑难杂症与Cisco ASA 防火墙配置

ASA防火墙疑难杂症解答 ASA防火墙疑难杂症解答 1...............................内部网络不能ping通internet 2........................内部网络不能使用pptp拨入vpn服务器 3....................内部网络不能通过被动Mode访问ftp服务器 4.................................内部网络不能进行ipsec NAT 5...................................内网不能访问DMZ区服务器 6................................内网用户不能ping web服务器1. 内部网络不能ping通internet 对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做 inspect,对icmp协议进行检查即可 2. 内部网络不能使用pptp拨入vpn服务器 因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载: modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre 如果防火墙是ASA,则需要inspect pptp。 3. 内部网络不能通过被动Mode访问ftp服务器 同样需要inspect ftp,有些还需要检查相关参数 policy-map type inspect ftp ftpaccess parameters match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd 4. 内部网络不能进行ipsec NAT 这种情况不多用,如查进行ipsect :IPSec Pass Through 5. 内网不能访问DMZ区服务器 增加NAT规则,即DMZ到内网的规则 6. 内网用户不能ping web服务器

asa5520防火墙透明模式

asa5520防火墙透明模式的配置例子 2010-01-13 10:49 ciscoasa# sh run : Saved : ASA Version 7.2(3) ! firewall transparent hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any

ciscoASA防火墙配置 - 基本配置过程

Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm

拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由

Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 (1)telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 (2)ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 (3)asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 (1)创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 (2)因为防火墙默认把禁止外网访问DMZ区,所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside

asa防火墙基本配置管理

asa防火墙基本配置管理 一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

asa防火墙命令详解

常用命令有:nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmark global_mask]:表示全局ip地址的网络掩码。 nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名称,一般为inside. nat_id:表示地址池,由global命令定义。 local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]:表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法: route (if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名称。 0 0 :表示所有主机 Gateway_ip:表示网关路由器的ip地址或下一跳。 [metric]:路由花费。缺省值是1。 static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中: internal_if_name表示内部网络接口,安全级别较高,如inside。 external_if_name表示外部网络接口,安全级别较低,如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外,外边的顺序是先外后内) 例如: asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址******************************************************************** ******

Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯

,实例需求:Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯 拓扑图: 配置实例: [asa防火墙配置] : Saved : ASA Version 7.0(7) ! hostname ***** enable password GSk/3FjsRAiPoooi encrypted names dns-guard ! interface GigabitEthernet0/0 shutdown nameif outside security-level 0 no ip address ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.1 // 启用子接口连接vlan 10,安全及别99,分配地址 vlan 10 nameif Test1 security-level 99 ip address 10.8.128.254 255.255.255.0

! interface GigabitEthernet0/1.2 // 启用子接口连接vlan 20,安全及别98,分配地址 vlan 20 nameif Test2 security-level 98 ip address 10.8.129.254 255.255.255.0 ! interface GigabitEthernet0/1.3 // 启用子接口连接vlan 30,安全及别97,分配地址 vlan 30 nameif Test3 security-level 97 ip address 10.8.130.254 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 description LAN Failover Interface ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list acl_Test1 extended permit icmp any any // 设置访问列表,允许全通过,为了测试方便access-list acl_Test1 extended permit ip any any access-list acl_Test2 extended permit icmp any any access-list acl_Test2 extended permit ip any any access-list acl_Test3 extended permit icmp any any access-list acl_Test3 extended permit ip any any access-list nonat extended permit ip any any // 这个acl是用在bypass nat所用* pager lines 24 logging asdm informational mtu management 1500 mtu outside 1500 mtu Test1 1500 mtu Test2 1500 mtu Test3 1500 failover

相关主题