【精品】写的比较好的ASA基础教程.doc

ASA配置基础飞基本配置#hostname name〃名字的设買〃进入接【I 0/0#nameif outside#security-level 0 级别越高〃配置接口名为outside〃设宜安全级别级别从0-100,级别越高安全#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外•部 ip 地址〃进入管理接口〃接口名〃安全级别//IP地址#no shutdown#interface ethernetO/1#nameif inside #security-level 100 级别越高〃进入接口 0/1〃配置接口名为inside〃设置安全级别级别从0-100,级别越高安全#ip address 192.168.10」255.255.255.0//设置 ip 地址#duplex full#speed 100#no shutdown//全双工〃速率interface ethernetO/2 #nameif dmz#security-level 50 别越高〃进入接口 0/2〃配宜接口名为dmz〃设鱼安全级别级别从0-100,级别越高安全级#ip address 192.168.9.1 255.255.255.0//设置 dmz 接口 ip 地址 #no shutdowninterface Management0/0# nameif guanli# security-level 100#ip address 192.168.1.1 255.255.255.00/0安全级别默认为00/1安全级别默认为1000/2安全级别默认为50注意：security-level配置安全级别。

默认外网接口为 内网接口为 dmz接口为默认情况下,相同安全级别接口之间不允许通信,可以使用以卜•命令:#same-security-traffic permit interface//允许相同安全级别接I I之间Q相通信较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列 表，认证或授权的限制较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的 数据包二、global nat^ static route 命令I、global 命令global (itLname) nat_id ipaddress-ipaddress [netmask mask]if_name:指的是接口nat_id:为地址池的ID标识号ipaddress—ipaddress [netmask mask]：指定的IP地址池范围,也可以是一个地址例：〃配置一个地址池〃配置单个地址为〃配置一个地址池，为global(outside) 1 218.106.236.247-218.106.236.249global(outside) I interfaceoutside接口的地址global(outside) 1 218.106.236.237 netmask 255.255.255.248255.255.255.248所有子网范围内的地址 2> nat命令(1) 基本用法 nat (iflname) nat_id local_ip [netmask]if_name:指的是接口natjd:为地址池的ID标识号，即global中定义的nat_id local_ip [netmask]:哪些地址转换到nat_id这个地址池上。

2) 动态内部讪转换(多对多)例：global(outside) 1 218.106.236.247-218.106.236.249 〃配置一-个地址池nat (inside) 1 192.168.9.0 255.255.255.0 〃和上面的 global 配置一起使用，即把192.168.9.0这个网段的地址转换为218.106.236.247-218.106.236.249这个网段(3) pat (多对—nat)当多个ip地址转换为一个ip地址时，就白动在外部IP地址的后面加上人于1024的端 口号，以区别不同的转换访问global(outside) 1 218.106.236.247 〃配置一个外部地址nat (inside) 1 192.168.9.0 255.255.255.0 〃和上面的 global 配萱一起使用，即把192.168.9.0这个网段的地址转换为218.106.236.247这个外部IP地址外部人看到的是自动 加了端口号的地址4) 策略nataccess-list extended netl permit ip 192.168.9.0 255.255.255.0 host 209.165.200」 〃定义一个策略global(outside) 1 209」65.200JOO〃定义一个地址nat (inside) I access-list netl 〃当 192.168.9.0 网段的地址访问 209.165.200.1 这台电脑 时，转换为209.165.200.100这个ip地址。

5) 动态外部nat转换当低级别的想往高级别的转换时，在麻而加outside关键字即可nat (dmz) 1 192.168.7.0 255.255.255.0 outside 〃把 dmz 接口下的地址 nat 到 inside 接口中 global(inside) 1 192.168.9.10-192」6&9.20 〃即 dmz接口中的 192.168.7.0 网段的地址访问内网时,将转换为内网地址为192.168.9.10-192.168.9.20(6) nat 0 即 nat 免除nat 0表示穿过防火墙而不进行转换即表示地址不经过转换肖•接作为源地址发送穿过 防火墙达到低级别安全接口nat (dmz) 0 192.168.0.9 255.255.255.255注意:执行nat的顺序:nat 0 (nat 免除)静态nat和静态pat (即static命令) 策略动态 nal (nat access」is()IE常的动态nat和pat (nat)3、static映射命令充许一个位于低安全级别接口的流量，穿过防火墙达到一个较高级别的接I I即数据流从较 低安全级别接口到较高安全级别。

1) 常用方法：static (real」fname mapped_ifname) {mapped_i pl interface} real_ip [netmask mask]reaLifname :较高级别接口名 mapped_ifname:较低级别接口名mappedjp:较低级别接口 ip地址interface:较低级别接口 real.ip：较高级别ip地址扩号内的顺序是：先高级别后低级别，扩号外的顺序是先低级别后高级别，正好相反例：static (inside outside) 21 & 107.233.234 192.167.9.1 〃即把 218.107.233.234 这 个外部地址映射到内部地址192.168.9.1上2) 静态端I I映射static (real__ifname mapped_ifname) {tcp I udp} {mapped__iplinterface} mapped_port real_port [netmask mask]realjfname :较高级别接口名 mapped_ifname:较低级别接口名tcpludp :要映射的端口协议名mapped_ip:较低级别接口 ip地址interface:较低级别接口 mapped_port:端口名或端口号 realjp：较高级别ip地址 real_port:端口名或端口号注意一点很重要：并不是near static就可以从外部访问内部了，必须要定义一个访问控制 列表來实现一个通道，允许哪些服务或端口，或哪些地址可以访问。

例：static (inside,outside) tcp interface ftp 192.168.10.4 ftp netmask 255.255.255.255 〃把outside接口 ip地址的ftp端口映射到192.168.10.4内部IP的FTP端口access-list ftp extended permit tcp any interface outside eq ftp//定议一个访问控制列表，以允许ftp数据流通过 access-group ftp in interface outside 访问控制列表应用于接口〃把4、route 命令route if_name destination__ip gateway [metric] if_name: 接口名destination_ip:目的地gateway: 网关metric:跳数例：route outside 0 0 218.102.33.247 1 //即默认网关为 218.102.33.247 ,只有一跳route inside 192.168.9.0 255.255.255.0 192.168.10.1 〃设置到目标 192.168.9.0 网段的网 关为 192.168.10」三、访问控制四、防火墙基本管理1、 telnet 配置#usenanie name password password#aaa authentication telnet console LOCAL 本地。

也可以用AAA服务器进入验证telnet 0.0.0.0 0.0.0.0 inside#telnet timeout 102、 ssh登录配置#usename name password password#aaa authentication ssh console LOCAL 也可以用其他服务器进入验证ssh timeout 10#crypto key gen erate rsa modulus 1024 时间越长,cisco推荐使用1024.# write mem〃设登入的帐号和密码〃设置AAA验证方式此处为LOCAL〃哪些地址可telnet 12此接口〃超时时长，以分钟为单位〃设直登入的帐号和密码〃设置AAA验证方式此处为LOCAL本地〃指疋rsa密钥的大小，这个值越大，产生rsa的〃保存刚才产生的密钥访问控制的方法与路由器的没有区别基本步骤是先定义访问控制列表，然厉再应用到接I I 即可在此不多作解释，在路由器模块里，会单独把访问列表作解释ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 {insideloutside) 〃允许哪些 IP 可以通过 SSH 登录此防火 墙。

inside为内网接口, outside为外网接口0.0.0.00.0.0.0表示所有IP,可配置单个IP, 也可以配置某段IPssh timeout 30 〃设置超时时间，单位为分钟#ssh version 1 〃指定SSH版本,可以选择版本2#passwd密码 //passwd命令所指定的密码为远程访问密码show sshcrypto key zeroizeshow。