GN3和虚拟机配置ASA

南哥

ASA基本 配置
接口配置===================
inter e 0/0
  ip address 1.1.1.254 255.255.255.0
  nameif inside
  security-level  100
  no shutdown
inter  e 0/1
  ip address 202.101.100.1 255.255.255.0
  nameif outside
  security-level  0
  no shutdown
inter  e 0/2
  ip address 10.1.1.254 255.255.255.0
  nameif dmz
  security-level  50
  no shutdown

如此配置完成后，inside区域用户能主动发起流量，访问dmz及outside；
但是outside及dmz无法主动发起流量访问inside用户
ASA默认的安全规则：
高安全级别  访问  低安全级别默认放行（回程流量也放行）
低安全级别  访问  高安全级别默认拒绝，除非明确允许，否则无法访问
默认禁止icmp报文穿行
静态路由 ================
route outside 0.0.0.0 0.0.0.0 202.101.100.111
PAT ================
nat (inside)     1    1.1.1.0 255.255.255.0         // 定义nat的接口及感兴趣流量
global (outside)  1  interface   // 将nat 1对应的网段，做端口overload,端口为outside口
global (dmz)  1  interface
ACL================
access-list perICMP extended permit icmp any any // 定义acl扩展列表，允许icmp流量
access-list perICMP extended permit tcp any  host 202.101.100.3  eq 12323
access-group perICMP in interface outside        // 应用acl到outside接口的in方向
clear configure    access-list noICMP   // 删除整个ACL列表
静态的端口映射================
!! 将DMZ服务器10.1.1.1的Telnet服务映射到外网202.101.100.3地址的12323端口
ip nat inside source static tcp 10.1.1.1 23  202.101.100.3  12323 //路由器配置
static (真实接口，映射接口)  映射IP   真实IP    //防火墙配置
static (DMZ,outside) tcp 202.101.100.3 12323 10.1.1.1 telnet
!! 这时候外网仍无法Telnet DMZ服务器，因为低安全级别网络默认不允许访问高安全级
!! 别网络，除非显式放行
access-list perOutside extended permit tcp any host 202.101.100.3 eq 12323
access-group perOutside in interface outside


虚拟机========================
e0/0    vmnet1
e0/1    bridge
e0/2   vmnet8

ASDM========================
http server enable     // 开启ASA的http服务
http 202.101.100.0 255.255.255.0 outside   //默认禁止任何用户访问asa的http服务，除非显式指定
username admin password cisco    // 创建用于登录的用户名和密码
aaa authentication http console LOCAL
asdm image flash:/asdm-649.bin      // 指定asa调用的asdm软件

dir  查看

clear config all  //清除当前配置

962456310@qq.co

沙发

zxq

马扎。。

wp940208

人在旅途2013

luosi7777

..看下来 就头晕了！

lina96

好吧。

renzhe27

三向外围防火墙的配置很简单，课本上的例子吧？

lwk

goood

后排男生

ewr