asa5520 基本配置 2011-05-10 13:22:49| 分類： 默認(rèn)分類 | 標(biāo)簽： |字號(hào)大中小 訂閱 .一般網(wǎng)絡(luò)機(jī)構(gòu)來(lái)理解asa5520外網(wǎng)-----asa5520----分別是

asa5520 基本配置 2011-05-10 13:22:49| 分類： 默認(rèn)分類 | 標(biāo)簽： |字號(hào)大中小 訂閱 .

一般網(wǎng)絡(luò)機(jī)構(gòu)來(lái)理解asa5520
外網(wǎng)-----asa5520----分別是內(nèi)網(wǎng)和dmz
asa配置都在全局模式下配置，很多跟cisco路由交換的一樣（大同小異）
第一次連接防火墻時(shí)有個(gè)初始化配置
主要有配置密碼，時(shí)間，內(nèi)部ip，和管理ip
1、配置主機(jī)名、域名、和密碼
主機(jī)名：ciscoasa5520（config）#hostname 5520
域名： 5520（config）#domain—name 123.com
密碼：5520（config）#enable password asa5520 （特權(quán)密碼）
5520（config）#password cisco （telnet密碼）
2、配置接口名字、安全級(jí)別
5520（config）#int f0/1
5520（config）#nameif inside (內(nèi)網(wǎng)，dmz，outside)
5520（config）#security-level 100 （安全級(jí)別為100，dmz：50，outside：0）
5520（config）#ip add 192.168.1.1 255.255.255.0 (配置ip地址)
5520（config）#no shut
5520（config）#exit
查看接口 show interface ipbrief
show interface f/0
3、配置路由
5520（config）#route 接口名 目標(biāo)網(wǎng)段 掩碼 下一跳
例 上網(wǎng)的缺省路由
5520（config）#route outside 0.0.0.0 0.0.0.0 61.232.14.81
5520（config）#route inside 192.168.0.0 0.0.255.255 192.168.1.254
查看路由 show route
4、管理（啟用telnet或者ssh）
5520（config）#telnet ip或網(wǎng)段 掩碼 接口
例：5520（config）#telnet 192.168.2.20 255.255.255.0 inside（表示只允許這個(gè)ip地址telnet asa）
5520（config）#telnet 192.168.2.0 255.255.255.0 inside （表示允許這個(gè)ip段telnet asa）
設(shè)置telnet超時(shí) 5520（config）#telnet timeout 30 單位為分
ssh為密文傳送（RSA密鑰對(duì)）
5520（config）#cryto key generate rsa modulus 1024
連接 5520（config）#ssh 192.168.2.0 255.255.255.0 inside
5520（config）#ssh 0 0 outside 允許外網(wǎng)任意ip連接
配置空閑超時(shí) ssh timeout 30
ssh version 2
5、遠(yuǎn)程接入ASDM（cisco的自適應(yīng)安全管理器）
客戶端可以用cisco自帶的軟件也可以裝jre走h(yuǎn)ttps
啟用https服務(wù)器功能
5520（config）#http server enable 端口號(hào)（越大越好）
設(shè)置允許接入網(wǎng)段
5520（config）#http 網(wǎng)段|ip 掩碼 接口名 （http 0 0 outside 外網(wǎng)任何ip接入）
指定ASDM的映像位置
5520（config）#asdm image disk0:/asdmfilse(這個(gè)一般用show version產(chǎn)看版本號(hào))
配置客戶端登錄使用的用戶名和密碼
5520（config）# username 用戶名 password 密碼 privilege 15
6、nat的配置（這個(gè)好像與pix類似）
5520（config）# nat （interface-名） nat-id 本地ip 掩碼
5520（config）#global （接口名） nat-id 全局ip、網(wǎng)段或接口
例：5520（config）#nat-control （啟用nat）
5520（config）#nat（inside）1 0 0 （可以指定一個(gè)網(wǎng)段或者全部）
5520（config）#global （outside）1 interface （這就稱了pat，當(dāng)然也可以寫(xiě)一個(gè)ip段或者一個(gè)ip）
5520（config）# global（dmz）1 172.16.1.100-172