GN3和虚拟机配置ASA
ASA基本 配置接口配置===================
inter e 0/0
ip address 1.1.1.254 255.255.255.0
nameif inside
security-level100
no shutdown
intere 0/1
ip address 202.101.100.1 255.255.255.0
nameif outside
security-level0
no shutdown
intere 0/2
ip address 10.1.1.254 255.255.255.0
nameif dmz
security-level50
no shutdown
如此配置完成后,inside区域用户能主动发起流量,访问dmz及outside;
但是outside及dmz无法主动发起流量访问inside用户
ASA默认的安全规则:
高安全级别访问低安全级别默认放行(回程流量也放行)
低安全级别访问高安全级别默认拒绝,除非明确允许,否则无法访问
默认禁止icmp报文穿行
静态路由 ================
route outside 0.0.0.0 0.0.0.0 202.101.100.111
PAT ================
nat (inside) 1 1.1.1.0 255.255.255.0 // 定义nat的接口及感兴趣流量
global (outside)1interface // 将nat 1对应的网段,做端口overload,端口为outside口
global (dmz)1interface
ACL================
access-list perICMP extended permit icmp any any // 定义acl扩展列表,允许icmp流量
access-list perICMP extended permit tcp anyhost 202.101.100.3eq 12323
access-group perICMP in interface outside // 应用acl到outside接口的in方向
clear configure access-list noICMP // 删除整个ACL列表
静态的端口映射================
!! 将DMZ服务器10.1.1.1的Telnet服务映射到外网202.101.100.3地址的12323端口
ip nat inside source static tcp 10.1.1.1 23202.101.100.312323 //路由器配置
static (真实接口,映射接口)映射IP 真实IP //防火墙配置
static (DMZ,outside) tcp 202.101.100.3 12323 10.1.1.1 telnet
!! 这时候外网仍无法Telnet DMZ服务器,因为低安全级别网络默认不允许访问高安全级
!! 别网络,除非显式放行
access-list perOutside extended permit tcp any host 202.101.100.3 eq 12323
access-group perOutside in interface outside
虚拟机========================
e0/0 vmnet1
e0/1 bridge
e0/2 vmnet8
ASDM========================
http server enable // 开启ASA的http服务
http 202.101.100.0 255.255.255.0 outside //默认禁止任何用户访问asa的http服务,除非显式指定
username admin password cisco // 创建用于登录的用户名和密码
aaa authentication http console LOCAL
asdm image flash:/asdm-649.bin // 指定asa调用的asdm软件
dir查看
clear config all//清除当前配置
沙发 马扎。。 {:6_290:} {:6_265:}{:6_265:}{:6_265:}{:6_265:}{:6_265:} ..看下来 就头晕了! 好吧。{:6_269:} 三向外围防火墙的配置很简单,课本上的例子吧? goood ewr
页:
[1]