asa 5505配置常用命令.pdf

《asa 5505配置常用命令.pdf》由会员分享，可在线阅读，更多相关《asa 5505配置常用命令.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、在配 ASA 5505 时用到的命令2009-11-22 22:49nat-control 命令在 6.3 的时候只要是穿越防火墙都需要创建转换项，比如：nat；static 等等，没有转换项是不能穿越防火墙的，但是到了 7.0 这个规则有了变化，不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了！当你打上 nat-control 这个命令的时候， 这个规则就改变得和 6.3 时代一样必须要有转换项才能穿越防火墙了。7.0 以后开始 nat-control 是默认关闭的，关闭的时候允许没有配置 NAT 规则的前提下和外部主机通信，相当于路由器一样，启用NAT 开关后内外网

2、就必须通过 NAT 转换才能通信1、定义外口interface Ethernet0/0 进入端口nameif outside 定义端口为外口security-level 0 定义安全等级为 0no shut 激活端口ip address . 255.255.255.248 设置 IP2、定义内口interface Ethernet0/1nameif inside 定义端口为内security-level 100 定义端口安去昂等级为 100no shutip address 192.168.1.1 255.255.255.03、定义内部 NAT 范围。nat (inside) 1 0.0.0.

3、0 0.0.0.0 任何 IP 都可以 NAT，可以自由设置范围。4、定义外网地址池global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240或global (outside) 1 interface 当 ISP 只分配给一个 IP 是，直接使用分配给外口的 IP 地址。5、设置默认路由route outside 0 0 218.17.148.14 指定下一条为 IPS 指定的网关地址查看 NAT 转换情况show xlate-一： 6 个基本命令： nameif、 interface、 ip address 、 nat

4、、 global、 route。二：基本配置步骤：step1: 命名接口名字nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security507 版本的配置是先进入接口再命名。step2：配置接口速率interface ethernet0 10full autointerface ethernet1 10full autointerface ethernet2 10fullstep3：配置接口地址ip address outside 218.106.185.82

5、ip address inside 192.168.100.1 255.255.255.0ip address dmz 192.168.200.1 255.255.255.0step4：地址转换（必须）* 安全高的区域访问安全低的区域（即内部到外部）需 NAT 和 global;nat(inside) 1 192.168.1.1 255.255.255.0global(outside) 1 222.240.254.193 255.255.255.248 nat (inside) 0 192.168.1.1 255.255.255.255 表示 192.168.1.1 这个地址不需要转换。直接转

6、发出去。* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要 static 和conduit 或者 acl.static (inside, outside) 222.240.254.194 192.168.1.240static (inside, outside) 222.240.254.194 192.168.1.240 10000 10后面的 10000 为限制连接数，10 为限制的半开连接数。conduit permit tcp host 222.240.254.194 eq www anyconduit permit icmp any any (这个命令在做测试期间可以配置，测

7、试完之后要关掉，防止不必要的漏洞)ACL 实现的功能和 conduit 一样都可实现策略访问，只是 ACL 稍微麻烦点。conduit 现在在 7 版本已经不能用了。Access-list 101 permit tcp any host 222.240.254.194 eq wwwAccess-group 101 in interface outside (绑定到接口)允许任何地址到主机地址为 222.240.254.194 的 www 的 tcp 访问。Step5：路由定义：Route outside 0 0 222.240.254.193 1Route inside 192.168.10.

8、0 255.255.255.0 192.168.1.1 1如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。Step6：基础配置完成，保存配置。Write memory write erase 清空配置reload-要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。global指定公网地址范围：定义地址池。Global 命令的配置语法：global (if_name) nat_id ip_address-ip_address netmark global_mask其中：(if_n

9、ame)：表示外网接口名称，一般为 outside。nat_id：建立的地址池标识(nat 要引用)。ip_address-ip_address：表示一段 ip 地址范围。netmark global_mask：表示全局 ip 地址的网络掩码。nat地址转换命令，将内网的私有 ip 转换为外网公网 ip。nat 命令配置语法：nat (if_name) nat_id local_ip netmark其中：(if_name)：表示接口名称，一般为 inside.nat_id： 表示地址池，由 global 命令定义。local_ip：表示内网的 ip 地址。对于 0.0.0.0 表示内网所有主机

10、。netmark：表示内网 ip 地址的子网掩码。routeroute 命令定义静态路由。语法：route (if_name) 0 0 gateway_ip metric其中：(if_name)：表示接口名称。0 0 ：表示所有主机Gateway_ip：表示网关路由器的 ip 地址或下一跳。metric：路由花费。缺省值是 1。static配置静态 IP 地址翻译，使内部地址与外部地址一一对应。语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ip_address其中：internal_if_name 表示内

11、部网络接口，安全级别较高，如 inside。external_if_name 表示外部网络接口，安全级别较低，如 outside。outside_ip_address 表示外部网络的公有 ip 地址。inside_ ip_address 表示内部网络的本地 ip 地址。(括号内序顺是先内后外，外边的顺序是先外后内)例如：asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8表示内部 ip 地址 192.168.0.8，访问外部时被翻译成 133.0.0.1 全局地址*asa#conf tasa(config)# hostname as

12、a /设置主机名asa(config)#enable password cisco /设置密码配置外网的接口，名字是 outside，安全级别 0，输入 ISP 给您提供的地址就行了。asa(config)#interface GigabitEthernet0/0asa(config)#nameif outside / 名字是 outsideasa(config)#securit-level 0 / 安全级别 0asa(config)#ip address *.*.*.* 255.255.255.0 / 配置公网 IP 地址asa(config)#duplex fullasa(config)#

13、asa(config)#no shutdown配置内网的接口，名字是 inside，安全级别 100asa(config)#interface GigabitEthernet0/1asa(config)#nameif insideasa(config)#securit-level 100asa(config)#duplex fullasa(config)#speed 100asa(config)#no shutdown配置 DMZ 的接口,名字是 dmz，安全级别 50asa(config)#interface GigabitEthernet0/2asa(config)#nameif dmza

14、sa(config)#securit-level 50asa(config)#duplex fullasa(config)#asa(config)#no shutdown网络部分设置asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0asa(config)#global(outside) 1 222.240.254.193 255.255.255.248asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 / 表示192.168.1.1 这个地址不需要转换。直接转发出去。asa(confi

15、g)#global (outside) 1 133.1.0.1-133.1.0.14 /定义的地址池asa(config)#nat (inside) 1 0 0 /0 0 表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围配置静态路由asa(config)#route outside 0 0 133.0.0.2 / 设置默认路由 133.0.0.2 为下一跳如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1地址转换asa(config

16、)#static (dmz，outside) 133.1.0.1 10.65.1.101 ; 静态 NATasa(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ; 静态 NATasa(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ; 静态 NAT如果内部有服务器需要映射到公网地址(外网访问内网)则需要 staticasa(config)#static (inside, outside) 222.240.254.194 192.168.1.240asa(config)#static

17、(inside, outside) 222.240.254.194 192.168.1.24010000 10 /后面的 10000 为限制连接数，10 为限制的半开连接数ACL 实现策略访问asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACLasa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACLasa(config)#access-list 101 deny ip any any ; 设置 ACLasa(config)#ac

18、cess-group 101 in interface outside ; 将 ACL 应用在 outside端口当内部主机访问外部主机时，通过 nat 转换成公网 IP，访问 internet。当内部主机访问中间区域 dmz 时，将自己映射成自己访问服务器，否则内部主机将会映射成地址池的 IP，到外部去找。当外部主机访问中间区域 dmz 时，对 133.0.0.1 映射成 10.65.1.101，static是双向的。PIX 的所有端口默认是关闭的，进入 PIX 要经过 acl 入口过滤。静态路由指示内部的主机和 dmz 的数据包从 outside 口出去。-例子:sh run: Saved

19、:ASA Version 8.0(2)!hostname ciscoasaenable password 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif insidesecurity-level 100ip address 10.115.25.1 255.255.255.0!interface Vlan2nameif outsidesecurity-level 0ip address 124.254.4.78 255.255.255.248!interface Ethernet0/0switchport access vlan 2!i

20、nterface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4!interface Ethernet0/5!interface Ethernet0/6!interface Ethernet0/7!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns domain-lookup insidedns domain-lookup outsideaccess-list 100 extended permit icmp any anyacces

21、s-list 100 extended permit tcp any host 124.254.4.78 eq wwwaccess-list 100 extended permit tcp any host 124.254.4.78 eq smtpaccess-list 100 extended permit tcp any host 124.254.4.78 eq pop3access-list 100 extended permit tcp any host 124.254.4.78 eq ftpaccess-list 100 extended permit tcp any host 12

22、4.254.4.78 eq sshaccess-list 100 extended permit tcp any host 124.254.4.78 eqpcanywhere-dataaccess-list 100 extended permit udp any host 124.254.4.78 eqpcanywhere-statusaccess-list 100 extended permit tcp any host 124.254.4.78 eq 8086access-list 100 extended permit tcp any host 124.254.4.78 eq 3389a

23、ccess-list 100 extended permit tcp any host 124.254.4.78 eq 2401access-list 100 extended permit ip any anyaccess-list 100 extended permit ip any host 124.254.4.78pager lines 24mtu inside 1500mtu outside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outs

24、ide) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0static (inside,outside) tcp 124.254.4.78 www 10.115.25.2 www netmask255.255.255.255static (inside,outside) tcp 124.254.4.78 ftp 10.115.25.2 ftp netmask255.255.255.255static (inside,outside) tcp 124.254.4.78 smtp 10.115.25.2 smtp netmask255.255.255.255sta

25、tic (inside,outside) tcp 124.254.4.78 pop3 10.115.25.2 pop3 netmask255.255.255.255static (inside,outside) tcp 124.254.4.78 3389 10.115.25.2 3389 netmask255.255.255.255static (inside,outside) tcp 124.254.4.78 8086 10.115.25.2 8086 netmask255.255.255.255static (inside,outside) 124.254.4.78 10.115.25.2

26、 netmask255.255.255.255access-group 100 in interface outsideroute outside 0.0.0.0 0.0.0.0 124.254.4.73 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat0:05:00timeout sip 0:30:00 sip_media 0:0

27、2:00 sip-invite 0:03:00 sip-disconnect0:02:00timeout uauth 0:05:00 absolutedynamic-access-policy-record DfltAccessPolicyno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet 10.115.25.0 255.255.255.0 in

28、sidetelnet timeout 5ssh timeout 5console timeout 0threat-detection basic-threatthreat-detection statistics access-list!class-map inspection_defaultmatch default-inspection-traffic!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_d

29、efaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:deca4473c

30、55485d04a622b1b9fca73d8: endciscoasa#-asa 55051.配置防火墙名ciscoasa enableciscoasa# configure terminalciscoasa(config)# hostname asa55052.配置 telnetasa5505(config)#telnet 192.168.1.0 255.255.255.0 inside/允许内部接口 192.168.1.0 网段 telnet 防火墙3.配置密码asa5505(config)# password cisco/远程密码asa5505(config)# enable pass

31、word cisco/特权模式密码4.配置 IPasa5505(config)# interface vlan 2/进入 vlan2asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192/vlan2 配置 IPasa5505(config)#show ip address vlan2/验证配置5.端口加入 vlanasa5505(config)# interface e0/3/进入接口 e0/3asa5505(config-if)# switchport access vlan 3/接口 e0/3 加入 vlan3asa550

32、5(config)# interface vlan 3/进入 vlan3asa5505(config-if)# ip address 10.10.10.36 255.255.255.224/vlan3 配置 IPasa5505(config-if)# nameif dmz/vlan3 名asa5505(config-if)# no shutdown/开启asa5505(config-if)# show switch vlan/验证配置6.最大传输单元 MTUasa5505(config)#mtu inside 1500/inside 最大传输单元 1500 字节asa5505(config)#

33、mtu outside 1500/outside 最大传输单元 1500 字节asa5505(config)#mtu dmz 1500/dmz 最大传输单元 1500 字节7.配置 arp 表的超时时间asa5505(config)#arp timeout 14400/arp 表的超时时间 14400 秒8.FTP 模式asa5505(config)#ftp mode passive/FTP 被动模式9.配置域名asa5505(config)#domain-name C10.启动日志asa5505(config)#logging enable/启动日志asa5505(config)#loggi

34、ng asdm informational/启动 asdm 报告日志asa5505(config)#Show logging/验证配置11.启用 http 服务asa5505(config)#http server enable/启动 HTTP server,便于 ASDM 连接。asa5505(config)#http 0.0.0.0 0.0.0.0 outside/对外启用 ASDM 连接asa5505(config)#http 0.0.0.0 0.0.0.0 inside/对内启用 ASDM 连接12.控制列表access-list acl_out extended permit tcp

35、 any any eq www/允许 tcp 协议 80 端口入站access-list acl_out extended permit tcp any any eq https/允许 tcp 协议 443 端口入站access-list acl_out extended permit tcp any host 218.xxx.37.223 eq ftp/允许 tcp 协议 21 端口到 218.xxx.37.223 主机access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389/允许 tcp 协议 3389

36、端口到 218.xxx.37.224 主机access-list acl_out extended permit tcp any host 218.xxx.37.225 eq 1433/允许 tcp 协议 1433 端口到 218.xxx.37.225 主机access-list acl_out extended permit tcp any host 218.xxx.37.226 eq 8080/允许 tcp 协议 8080 端口到 218.xxx.37.226 主机asa5505(config)#show access-list/验证配置13.设置路由asa5505(config)#rou

37、te dmz 10.0.0.0 255.0.0.0 10.10.10.33 1/静态路由到 10.0.0.0 网段经过 10.10.10.33 网关跳数为 1asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1/默认路由到所有网段经过 218.xxx.37.193 网关跳数为 1asa5505# show route/显示路由信息14.静态 NATasa5505(config)# static (inside,outside) 218.xxx.37.223 192.168.1.6netmask 255.255.255.255

38、/外网 218.xxx.37.223 映射到内网 192.168.1.6asa5505(config)#access-list acl_out extended permit icmp any any/控制列表名 acl_out 允许 ICMP 协议asa5505(config)#access-group acl_out in interface outside/控制列表 acl_out 应用到 outside 接口asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask255.255.255.255/dmz10.

39、10.10.37 映射到内网 192.168.1.16asa5505(config)#access-list acl_dmz extended permit icmp any any/控制列表名 acl_dmz 允许 ICMP 协议asa5505(config)#access-group acl_dmz in interface dmz/控制列表 acl_out 应用到 dmz 接口asa5505(config)#Show nat/验证配置15.动态 NATasa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226/定义全局地

40、址池asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22/内部转换地址池asa5505(config)# show xlate/验证配置16.基于端口 NAT（PAT）asa5505(config)#global (outside) 2 interface/定义全局地址即 outside 地址：218.xxx.37.222asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0/内部转换地址池asa5505(config)# show xlate/验证配置17.基于 LAN 故障倒

41、换（failover）1).主防火墙配置asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12/故障倒换虚拟 MAC 地址asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22/故障倒换虚拟 MAC 地址asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32/故障倒换虚拟 MAC 地址asa5505(config)#failover/启动

42、故障倒换asa5505(config)#failover lan unit primary/设置主要防火墙asa5505(config)#failover lan interface standby Vlan4/故障倒换接口名 standbyasa5505(config)#failover interface ip standby 172.168.32.1255.255.255.252 standby 172.168.32.2/配置主防火墙 IP：172.168.32.1,备用防火墙 IP：172.168.32.2asa5505# show failover/验证配置2).备防火墙配置asa5

43、505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12/故障倒换虚拟 MAC 地址asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22/故障倒换虚拟 MAC 地址asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32/故障倒换虚拟 MAC 地址asa5505(config)#failover/启动故障倒换asa5505(config)#fail

44、over lan unit secondary/设置备用防火墙asa5505(config)#failover lan interface standby Vlan4/故障倒换接口名 standbyasa5505(config)#failover interface ip standby 172.168.32.1255.255.255.252 standby 172.168.32.2/配置主防火墙 IP：172.168.32.1,备用防火墙 IP：172.168.32.2asa5505# show failover/验证配置18.显示 mac 地址asa5505# show switch mac-address-table19.保存配置asa5505# write memory