OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火牆配置


尊重原創,轉發請聲名

inside OPCSERVER 一台
outside OPCCLIENT 一台

route模式 配置沒成功,放棄,采用透明模式

!----進入全局配置--
configure terminal
!--刪除原來的配置信息--
clear configure all

!--ASA名稱--時區--
hostname ciscoasa
clock timezone CST 8

!--查看當前防火牆工作模式
show firewall
!--配置ASA為透明模式
firewall transparent

!--將G1/1和G1/2加入到bridge group 1
interface gigabitEthernet 1/1
nameif outside
security-level 0
bridge-group 1
no shutdown

interface gigabitEthernet 1/2
nameif inside
security-level 100
bridge-group 1
no shutdown

!--為bridge group分配一個IP地址,僅用在管理流量,此處BVI,類似與交換機的SVI接口
interface BVI 1
ip address 172.19.38.2 255.255.255.0

!--啟用http server--啟用后可以使用asdm從內網PC配置ASA--
http server enable
http 172.19.38.3 255.255.255.255 inside

!--在inside和outside接口綁定允許放行的IP和MAC對應關系,並開啟ARP Inspection功能
arp inside 172.19.38.3 D094.6665.031A
arp outside 172.19.38.13 000C.291F.A157
!--丟棄ARP不完全不匹配的項--(啟用了就通訊不成功了,不知道arp規則那里不對)
!--arp-inspection inside enable no-flood
!--arp-inspection outside enable no-flood
!--禁用MAC學習[禁用后,不在識別添加到內網中的新機器,配合前面的arp綁定,可以杜絕未綁定的PC訪問OPCSERVER]
mac-learn inside disable
mac-learn outside disable

!--創建配置Network Objects/Groups--
object network opcserver
 host 172.19.38.3
object network opcclient
 host 172.19.38.13

!--創建配置Service Objects--
object service tcp135
 service tcp destination eq 135
object service tcp20501
 service tcp destination range 20501 20601

!--創建配置Service Groups--
object-group service opc_ports
 service-object object tcp135
 service-object object tcp20501

!--配置訪問控制列表--
access-list outside_int extended permit object-group opc_ports object opcclient object opcserver

access-list inside_access_in extended permit ip object opcserver object opcclient
access-list inside_access_in extended deny ip any any

!--將訪問控制列表應用到對應端口
access-group outside_int in interface outside
access-group inside_access_in in interface inside

!--將運行參數保存為啟動參數--
write memory
exit



免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM