ASA配置命令.docx
- 文档编号:11027940
- 上传时间:2023-02-24
- 格式:DOCX
- 页数:43
- 大小:60.68KB
ASA配置命令.docx
《ASA配置命令.docx》由会员分享,可在线阅读,更多相关《ASA配置命令.docx(43页珍藏版)》请在冰豆网上搜索。
ASA配置命令
要想配置思科得防火墙得先了解这些命令:
常用命令有:
nameif、interface、ipaddress、nat、global、route、static等。
global
指定公网地址范围:
定义地址池、
Global命令得配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):
表示外网接口名称,一般为outside。
nat_id:
建立得地址池标识(nat要引用)。
ip_address—ip_address:
表示一段ip地址范围。
[netmarkglobal_mask]:
表示全局ip地址得网络掩码。
nat
地址转换命令,将内网得私有ip转换为外网公网ip。
nat命令配置语法:
nat(if_name)nat_id local_ip[netmark]
其中:
(if_name):
表示接口名称,一般为inside。
nat_id:
表示地址池,由global命令定义。
local_ip:
表示内网得ip地址。
对于0、0.0。
0表示内网所有主机。
[netmark]:
表示内网ip地址得子网掩码。
route
route命令定义静态路由。
语法:
route(if_name) 0 0gateway_ip [metric]
其中:
(if_name):
表示接口名称。
00:
表示所有主机
Gateway_ip:
表示网关路由器得ip地址或下一跳。
[metric]:
路由花费。
缺省值就是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addrinside_ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络得公有ip地址。
inside_ip_address表示内部网络得本地ip地址、
(括号内序顺就是先内后外,外边得顺序就是先外后内)
例如:
asa(config)#static(inside,outside) 133.0。
0、1 192.168.0.8
表示内部ip地址192。
168。
0。
8,访问外部时被翻译成133、0、0。
1全局地址
**************************************************************************
asa#conft
asa(config)#hostnameasa//设置主机名
asa(config)#enable passwordcisco//设置密码
配置外网得接口,名字就是outside,安全级别0,输入ISP给您提供得地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameifoutside //名字就是outside
asa(config)#securit—level0 //安全级别0
asa(config)#ip address*、*.*、*255.255、255。
0 //配置公网IP地址
asa(config)#duplexfull
asa(config)#
asa(config)#noshutdown
配置内网得接口,名字就是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameifinside
asa(config)#securit-level100
asa(config)#duplexfull
asa(config)#speed100
asa(config)#noshutdown
配置DMZ得接口,名字就是dmz,安全级别50
asa(config)#interfaceGigabitEthernet0/2
asa(config)#nameifdmz
asa(config)#securit—level50
asa(config)#duplexfull
asa(config)#
asa(config)#noshutdown
网络部分设置
asa(config)#nat(inside)1192.168、1.1255.255、255。
0
asa(config)#global(outside)1222、240。
254。
193255。
255、255。
248
asa(config)#nat(inside)0192、168、1、1255、255、255。
255//表示192。
168、1。
1这个地址不需要转换。
直接转发出去。
asa(config)#global(outside)1133.1、0、1—133。
1、0。
14//定义得地址池
asa(config)#nat (inside) 10 0//00表示转换网段中得所有地址。
定义内部网络地址将要翻译成得全局地址或地址范围
配置静态路由
asa(config)#routeoutside0 0133。
0、0.2//设置默认路由133、0。
0、2为下一跳
如果内部网段不就是直接接在防火墙内口,则需要配置到内部得路由、
asa(config)#Routeinside 192、168、10.0255、255、255.0192.168、1、11
地址转换
asa(config)#static(dmz,outside)133、1.0。
110。
65。
1。
101 ;静态NAT
asa(config)#static(dmz,outside)133。
1。
0.2 10、65、1。
102;静态NAT
asa(config)#static(inside,dmz)10、66。
1、20010.66、1、200;静态NAT
如果内部有服务器需要映射到公网地址(外网访问内网)则需要static
asa(config)#static(inside,outside)222。
240、254.194192。
168.1。
240
asa(config)#static(inside,outside)222、240.254。
194192、168、1。
240 1000010//后面得10000为限制连接数,10为限制得半开连接数
ACL实现策略访问
asa(config)#access—list101permitipany host133。
1.0.1eq ;设置ACL
asa(config)#access—list101permitip anyhost133.1、0。
2eqftp;设置ACL
asa(config)#access-list101denyipanyany ;设置ACL
asa(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池得IP,到外部去找。
当外部主机访问中间区域dmz时,对133。
0、0。
1映射成10、65。
1.101,static就是双向得。
PIX得所有端口默认就是关闭得,进入PIX要经过acl入口过滤、
静态路由指示内部得主机与dmz得数据包从outside口出去。
思科ASA与PIX防火墙配置手册
一、配置基础
1.1用户接口
思科防火墙支持下列用户配置方式:
Console,Telnet,SSH(1.x或者2.0,2、0为7.x新特性,PDM得方式(7。
x以后称为ASDM)与VMS得FirewallManagementCenter、
支持进入RomMonitor模式,权限分为用户模式与特权模式,支持Help,History与命令输出得搜索与过滤、
注:
Catalyst6500得FWSM没有物理接口接入,通过下面CLI命令进入:
Switch# sessionslotslotprocessor 1(FWSM所在slot号)
用户模式:
Firewall〉为用户模式,输入enable进入特权模式Firewall#。
特权模式下可以进入配置模式,在6.x所有得配置都在一个全局模式下进行,7。
x以后改成与IOS类似得全局配置模式与相应得子模式、通过exit,ctrl—z退回上级模式。
配置特性:
在原有命令前加no可以取消该命令。
Showrunning-config 或者writeterminal显示当前配置,7。
x后可以对showrun得命令输出进行搜索与过滤。
Showrunning-configall显示所有配置,包含缺省配置。
Tab可以用于命令补全,ctrl—l可以用于重新显示输入得命令(适用于还没有输入完命令被系统输出打乱得情况),help与history相同于IOS命令集、
Show命令支持begin,include,exclude,grep加正则表达式得方式对输出进行过滤与搜索。
Terminalwidth命令用于修改终端屏幕显示宽度,缺省为80个字符,pager命令用于修改终端显示屏幕显示行数,缺省为24行,pagerlines 0命令什么效果可以自己试试。
1.2防火墙许可介绍
防火墙具有下列几种许可形式,通过使用showversion命令可以瞧设备所支持得特性:
Unrestricted(UR)所有得限制仅限于设备自身得性能,也支持Failover
Restricted(R)防火墙得内存与允许使用得最多端口数有限制,不支持Failover
Failover(FO) 不能单独使用得防火墙,只能用于Failover
Failover-Active/Active(FO—AA)只能与UR类型得防火墙一起使用,支持active/activefailover
注:
FWSM内置UR许可。
activation-key命令用于升级设备得许可,该许可与设备得serialnumber有关(showversion输出可以瞧到),6。
x为16字节,7、x为20字节。
1。
3初始配置
跟路由器一样可以使用setup进行对话式得基本配置。
二、配置连接性
2。
1配置接口
接口基础:
防火墙得接口都必须配置接口名称,接口IP地址与掩码(7、x开始支持IPv6)与安全等级。
接口可以就是物理接口也可以就是逻辑接口(vlan),从6、3贾С?
lt;/SPAN>trunk,但只支持802。
1Q封装,不支持DTP协商。
接口基本配置:
注:
对于FWSM所有得接口都为逻辑接口,名字也就是vlan后面加上vlanid。
例如FWSM位于6500得第三槽,配置三个接口,分别属于vlan100,200,300、
Switch(config)# firewallvlan-group 1 100,200,300
Switch(config)#firewall module3vlan—group1
Switch(config)#exit
Switch# sessionslot3 processor1
经过此配置后形成三个端口vlan100。
vlan200,vlan300
PIX6。
x
Firewall(config)#interfacehardware-id[hardware—speed][shutdown](Hardware-id可以用showversion命令瞧到)
PIX 7。
x
Firewall(config)#interfacehardware-id
Firewall(config-if)#speed{auto|10|100|nonegotiate}
Firewall(config—if)#duplex {auto|full|half}
Firewall(config-if)#[no] shutdown
命名接口
FWSM2。
x
Firewall(config)#nameif vlan—id if_namesecuritylevel
PIX6。
x
Firewall(config)#nameif {hardware-id|vlan-id}if_name securitylevel
PIX7。
x
Firewall(config)# interfacehardware_id[、subinterface]
Firewall(config-if)# nameifif_name
Firewall(config—if)# security-level level
注:
Pix7、x与FWSM2、x开始支持不同接口有相同得securitylevel,前提就是全局配置模式下使用same—security-trafficpermit inter-interface命令。
配置IP地址
静态地址:
Firewall(config)#ip addressif_nameip_address [netmask]
动态地址:
Firewall(config)# ipaddressoutsidedhcp[setroute][retryretry_cnt]
注:
setroute参数可以同时获得来自DHCP服务器得缺省路由,再次输入此命令可以renew地址。
PPPOE:
Firewall(config)# vpdn usernameJohnDoepasswordJDsecret
Firewall(config)# vpdngroupISP1localname JohnDoe
Firewall(config)#vpdngroupISP1 ppp authenticationchap
Firewall(config)#vpdngroupISP1requestdialoutpppoe
Firewall(config)# ipaddressoutsidepppoesetroute
验证接口
Firewall#showip
IPv6地址配置(7。
x新特性)
暂略
ARP配置
配置一个静态得ARP条目:
Firewall(config)#arpif_nameip_address mac_address[alias]
配置timeout时间:
Firewall(config)#arptimeout seconds缺省为4小时
注:
一般情况下使用cleararp会清除所有得ARP缓存,不能针对单个得条目,但就是可以通过以下变通方法:
配置一个静态得条目,映射有问题得ip为一个假得mac地址,然后no掉该命令就会重新建立一个arp条目。
MTU与分段
配置MTU:
Firewall(config)#mtu if_namebytes使用show mtu(6.3)或者showrunning-configmtu(7。
x)来验证
分段(fragment)得几个命令:
限制等待重组得分段数Firewall(config)#fragmentsizedatabase-limit[if_name]
限制每个包得分段数Firewall(config)# fragmentchain chain-limit[if_name]
限制一个数据包分段到达得时间Firewall(config)#fragment timeoutseconds[if_name]
配置接口得优先队列(7、x新特性)
暂略
2.2配置路由
启用PRF防止地址欺骗Firewall(config)#ip verifyreverse—pathinterfaceif_name
配置静态路由Firewall(config)#route if_nameip_address netmaskgateway_ip[metric]
配置RIP
被动听RIP更新(v1,v2)Firewall(config)# ripif_namepassive[version1] (Firewall(config)# ripif_namepassiveversion2[authentication[text |md5key (key_id)]])
宣告该接口为缺省路由Firewall(config)#ripif_namedefaultversion[1| 2[authentication[text|md5keykey_id]]
配置OSPF
定义OSPF进程Firewall(config)#router ospfpid
指定相应网络到OSPF区域Firewall(config-router)#networkip_addressnetmaskareaarea_id
可选:
定义RouterID Firewall(config-router)#router—idip_address
记录OSPF邻居状态更新Firewall(config-router)#log-adj-changes [detail]
启用OSPF更新认证 Firewall(config—router)#area area_idauthentication [message-digest]宣告缺省路由 Firewall(config-router)#default—informationoriginate[always][metricvalue][metric-type{1| 2}][route—mapname]调节OSPF参数Firewall(config-router)#timers{spfspf_delay spf_holdtime |lsa—group-pacingseconds}
2。
3DHCP
配置成为DHCP Server:
配置地址池Firewall(config)#dhcpdaddressip1[-ip2]if_name (最多256个客户端)
配置DHCP参数Firewall(config)# dhcpddnsdns1[dns2]Firewall(config)#dhcpdwinswins1 [wins2]Firewall(config)#dhcpd domaindomain_nameFirewall(config)#dhcpdleaselease_lengthFirewall(config)#dhcpd ping_timeout timeout
启用DHCP服务Firewall(config)#dhcpdenable if_name
验证:
showdhcdp,showdhcpdbindings,showdhcpdstatistics
配置DHCP中继:
定义真实DHCPServerFirewall(config)#dhcprelayserverdhcp_server_ipserver_ifc(最多4个)
中继参数Firewall(config)#dhcprelay timeoutsecondsFirewall(config)#dhcprelaysetroute client_ifc
启用中继Firewall(config)# dhcprelayenableclient_ifc
验证showdhcprelaystatistics
2、4组播得支持
暂略
一、防火墙得管理
3.1使用Security Context建立虚拟防火墙(7、x特性)
特性介绍:
从PIX7、0与FWSM2。
2(1)开始,可以把物理得一个防火墙配置出多个虚拟得防火墙,每个防火墙称为context,这样一个防火墙就支持两种工作模式:
single-context与multiple-context,处于后者工作模式得防火墙被分为三个功能模块:
systemexecutionspace(虽然没有context得功能,但就是就是所有得基础),administrativecontext(被用来管理物理得防火墙)与usercontexts(虚拟出来得防火墙,所有配置防火墙得命令都适用)
配置:
首先使用showactivation-key来验证就是否有multiple-context得许可,然后通过modemultiple与modesingle命令在这两个模式之间进行切换,当然也可以用show mode来验证现在工作在什么模式下。
在不同context下进行切换使用Firewall#changeto{system|context name},由于所有得context得定义都必须在systemexecutionspace下,所以要首先使用changetosystem转入该模式,Firewall(config)#contextname 接着要把物理接口映射到context中 只要这样才能在相应得context下显示出物理接口,从而配置其属性Firewall(config—ctx)#allocate—interfacephysical-interface [map—name] 最后定义context得startup-config得存放位置Firewall(config—ctx)#config-urlurl通过show context验证
注:
当防火墙工作在multiple-context模式下,admin context就自动生成、(showcontext来验证)
由于所有得context都共享设备得资源,所以要限制各个context得资源分配
首先定义classFirewall(config)# classname然后Firewall(config-class)#limit-resourceallnumber%Firewall(config—class)#limit-resource[rate]resource_namenumber[%]最后在相应得context配置下Firewall(config-ctx)#member class
通过以下命令验证showclass, showresourceallocation, showresourceusage等
注:
缺省telnet,ssh,IPsec 5sessions,MACaddress65535条目
3、2管理Flash文件系统
6。
x文
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ASA 配置 命令