尊重原創,轉發請聲名
inside OPCSERVER 一台
outside OPCCLIENT 一台
route模式 配置沒成功,放棄,采用透明模式
!----進入全局配置--
configure terminal
!--刪除原來的配置信息--
clear configure all
!--ASA名稱--時區--
hostname ciscoasa
clock timezone CST 8
!--查看當前防火牆工作模式
show firewall
!--配置ASA為透明模式
firewall transparent
!--將G1/1和G1/2加入到bridge group 1
interface gigabitEthernet 1/1
nameif outside
security-level 0
bridge-group 1
no shutdown
interface gigabitEthernet 1/2
nameif inside
security-level 100
bridge-group 1
no shutdown
!--為bridge group分配一個IP地址,僅用在管理流量,此處BVI,類似與交換機的SVI接口
interface BVI 1
ip address 172.19.38.2 255.255.255.0
!--啟用http server--啟用后可以使用asdm從內網PC配置ASA--
http server enable
http 172.19.38.3 255.255.255.255 inside
!--在inside和outside接口綁定允許放行的IP和MAC對應關系,並開啟ARP Inspection功能
arp inside 172.19.38.3 D094.6665.031A
arp outside 172.19.38.13 000C.291F.A157
!--丟棄ARP不完全不匹配的項--(啟用了就通訊不成功了,不知道arp規則那里不對)
!--arp-inspection inside enable no-flood
!--arp-inspection outside enable no-flood
!--禁用MAC學習[禁用后,不在識別添加到內網中的新機器,配合前面的arp綁定,可以杜絕未綁定的PC訪問OPCSERVER]
mac-learn inside disable
mac-learn outside disable
!--創建配置Network Objects/Groups--
object network opcserver
host 172.19.38.3
object network opcclient
host 172.19.38.13
!--創建配置Service Objects--
object service tcp135
service tcp destination eq 135
object service tcp20501
service tcp destination range 20501 20601
!--創建配置Service Groups--
object-group service opc_ports
service-object object tcp135
service-object object tcp20501
!--配置訪問控制列表--
access-list outside_int extended permit object-group opc_ports object opcclient object opcserver
access-list inside_access_in extended permit ip object opcserver object opcclient
access-list inside_access_in extended deny ip any any
!--將訪問控制列表應用到對應端口
access-group outside_int in interface outside
access-group inside_access_in in interface inside
!--將運行參數保存為啟動參數--
write memory
exit