在配ASA 5505時用到的命令
2009-11-22 22:49
nat-control命令
在6.3的時候只要是穿越防火牆都需要創建轉換項,比如:nat;static等等,沒有轉換項是不能穿越防火牆的,但是到了7.0這個規則有了變化,不需要任何轉換項也能正常的像路由器一樣穿越防火牆。但是一個新的命令出現了!當你打上nat-control這個命令的時候,這個規則就改變得和6.3時代一樣必須要有轉換項才能穿越防火牆了。7.0以后開始 nat-control 是默認關閉的,關閉的時候允許沒有配置NAT規則的前提下和外部主機通信,相當於路由器一樣,啟用NAT開關后內外網就必須通過NAT轉換才能通信
1、定義外口
interface Ethernet0/0 進入端口
nameif outside 定義端口為外口
security-level 0 定義安全等級為0
no shut 激活端口
ip address ×.×.×.× 255.255.255.248 設置IP
2、定義內口
interface Ethernet0/1
nameif inside 定義端口為內
security-level 100 定義端口安去昂等級為100
no shut
ip address 192.168.1.1 255.255.255.0
3、定義內部NAT范圍。
nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT,可以自由設置范圍。
4、定義外網地址池
global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240
或
global (outside) 1 interface 當ISP只分配給一個IP是,直接使用分配給外口的IP地址。
5、設置默認路由
route outside 0 0 218.17.148.14 指定下一條為IPS指定的網關地址
查看NAT轉換情況
show xlate
---------------------------------------------------
一:6個基本命令: nameif、 interface、 ip address 、nat、 global、 route。
二:基本配置步驟:
step1: 命名接口名字
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
**7版本的配置是先進入接口再命名。
step2:配置接口速率
interface ethernet0 10full auto
interface ethernet1 10full auto
interface ethernet2 10full
step3:配置接口地址
ip address outside 218.106.185.82
ip address inside 192.168.100.1 255.255.255.0
ip address dmz 192.168.200.1 255.255.255.0
step4:地址轉換(必須)
* 安全高的區域訪問安全低的區域(即內部到外部)需NAT和global;
nat(inside) 1 192.168.1.1 255.255.255.0
global(outside) 1 222.240.254.193 255.255.255.248
*** nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1這個地址不需要轉換。直接轉發出去。
* 如果內部有服務器需要映射到公網地址(外網訪問內網)則需要static和conduit或者acl.
static (inside, outside) 222.240.254.194 192.168.1.240
static (inside, outside) 222.240.254.194 192.168.1.240 10000 10
后面的10000為限制連接數,10為限制的半開連接數。
conduit permit tcp host 222.240.254.194 eq www any
conduit permit icmp any any (這個命令在做測試期間可以配置,測試完之后要關掉,防止不必要的漏洞)
ACL實現的功能和conduit一樣都可實現策略訪問,只是ACL稍微麻煩點。conduit現在在7版本已經不能用了。
Access-list 101 permit tcp any host 222.240.254.194 eq www
Access-group 101 in interface outside (綁定到接口)
***允許任何地址到主機地址為222.240.254.194的www的tcp訪問。
Step5:路由定義:
Route outside 0 0 222.240.254.193 1
Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
**如果內部網段不是直接接在防火牆內口,則需要配置到內部的路由。
Step6:基礎配置完成,保存配置。
Write memory write erase 清空配置
reload
---------------------------------------------------
要想配置思科的防火牆得先了解這些命令:
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外網接口名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmark global_mask]:表示全局ip地址的網絡掩碼。
nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名稱,一般為inside.
nat_id: 表示地址池,由global命令定義。
local_ip:表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
route
route命令定義靜態路由。
語法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名稱。
0 0 :表示所有主機
Gateway_ip:表示網關路由器的ip地址或下一跳。
[metric]:路由花費。缺省值是1。
static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ ip_address表示內部網絡的本地ip地址。
(括號內序順是先內后外,外邊的順序是先外后內)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa //設置主機名
asa(config)#enable password cisco //設置密碼
配置外網的接口,名字是outside,安全級別0,輸入ISP給您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside // 名字是outside
asa(config)#securit-level 0 // 安全級別0
asa(config)#ip address *.*.*.* 255.255.255.0 // 配置公網IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置內網的接口,名字是inside,安全級別 100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全級別50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
網絡部分設置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 // 表示192.168.1.1這個地址不需要轉換。直接轉發出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定義的地址池
asa(config)#nat (inside) 1 0 0 //0 0表示轉換網段中的所有地址。定義內部網絡地址將要翻譯成的全局地址或地址范圍
配置靜態路由
asa(config)#route outside 0 0 133.0.0.2 // 設置默認路由 133.0.0.2為下一跳
如果內部網段不是直接接在防火牆內口,則需要配置到內部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址轉換
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ; 靜態NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ; 靜態NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ; 靜態NAT
如果內部有服務器需要映射到公網地址(外網訪問內網)則需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //后面的10000為限制連接數,10為限制的半開連接數
ACL實現策略訪問
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設置ACL
asa(config)#access-list 101 deny ip any any ; 設置ACL
asa(config)#access-group 101 in interface outside ; 將ACL應用在outside端口
當內部主機訪問外部主機時,通過nat轉換成公網IP,訪問internet。
當內部主機訪問中間區域dmz時,將自己映射成自己訪問服務器,否則內部主機將會映射成地址池的IP,到外部去找。
當外部主機訪問中間區域dmz時,對133.0.0.1映射成 10.65.1.101,static是雙向的。
PIX的所有端口默認是關閉的,進入PIX要經過acl入口過濾。
靜態路由指示內部的主機和dmz的數據包從outside口出去。
-----------------------------------------------
例子:
sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 10.115.25.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 124.254.4.78 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
access-list 100 extended permit icmp any any
access-list 100 extended permit tcp any host 124.254.4.78 eq www
access-list 100 extended permit tcp any host 124.254.4.78 eq smtp
access-list 100 extended permit tcp any host 124.254.4.78 eq pop3
access-list 100 extended permit tcp any host 124.254.4.78 eq ftp
access-list 100 extended permit tcp any host 124.254.4.78 eq ssh
access-list 100 extended permit tcp any host 124.254.4.78 eq pcanywhere-data
access-list 100 extended permit udp any host 124.254.4.78 eq pcanywhere-status
access-list 100 extended permit tcp any host 124.254.4.78 eq 8086
access-list 100 extended permit tcp any host 124.254.4.78 eq 3389
access-list 100 extended permit tcp any host 124.254.4.78 eq 2401
access-list 100 extended permit ip any any
access-list 100 extended permit ip any host 124.254.4.78
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 124.254.4.78 www 10.115.25.2 www netmask 255.255.255.255
static (inside,outside) tcp 124.254.4.78 ftp 10.115.25.2 ftp netmask 255.255.255.255
static (inside,outside) tcp 124.254.4.78 smtp 10.115.25.2 smtp netmask 255.255.255.255
static (inside,outside) tcp 124.254.4.78 pop3 10.115.25.2 pop3 netmask 255.255.255.255
static (inside,outside) tcp 124.254.4.78 3389 10.115.25.2 3389 netmask 255.255.255.255
static (inside,outside) tcp 124.254.4.78 8086 10.115.25.2 8086 netmask 255.255.255.255
static (inside,outside) 124.254.4.78 10.115.25.2 netmask 255.255.255.255
access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 124.254.4.73 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 10.115.25.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:deca4473c55485d04a622b1b9fca73d8
: end
ciscoasa#
-----------------------------------------------
asa 5505
1.配置防火牆名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside
//允許內部接口192.168.1.0網段telnet防火牆
3.配置密碼
asa5505(config)# password cisco
//遠程密碼
asa5505(config)# enable password cisco
//特權模式密碼
4.配置IP
asa5505(config)# interface vlan 2
//進入vlan2
asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192
//vlan2配置IP
asa5505(config)#show ip address vlan2
//驗證配置
5.端口加入vlan
asa5505(config)# interface e0/3
//進入接口e0/3
asa5505(config-if)# switchport access vlan 3
//接口e0/3加入vlan3
asa5505(config)# interface vlan 3
//進入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224
//vlan3配置IP
asa5505(config-if)# nameif dmz
//vlan3名
asa5505(config-if)# no shutdown
//開啟
asa5505(config-if)# show switch vlan
//驗證配置
6.最大傳輸單元MTU
asa5505(config)#mtu inside 1500
//inside最大傳輸單元1500字節
asa5505(config)#mtu outside 1500
//outside最大傳輸單元1500字節
asa5505(config)#mtu dmz 1500
//dmz最大傳輸單元1500字節
7.配置arp表的超時時間
asa5505(config)#arp timeout 14400
//arp表的超時時間14400秒
8.FTP模式
asa5505(config)#ftp mode passive
//FTP被動模式
9.配置域名
asa5505(config)#domain-name Cisco.com
10.啟動日志
asa5505(config)#logging enable
//啟動日志
asa5505(config)#logging asdm informational
//啟動asdm報告日志
asa5505(config)#Show logging
//驗證配置
11.啟用http服務
asa5505(config)#http server enable
//啟動HTTP server,便於ASDM連接。
asa5505(config)#http 0.0.0.0 0.0.0.0 outside
//對外啟用ASDM連接
asa5505(config)#http 0.0.0.0 0.0.0.0 inside
//對內啟用ASDM連接
12.控制列表
access-list acl_out extended permit tcp any any eq www
//允許tcp協議80端口入站
access-list acl_out extended permit tcp any any eq https
//允許tcp協議443端口入站
access-list acl_out extended permit tcp any host 218.xxx.37.223 eq ftp
//允許tcp協議21端口到218.xxx.37.223主機
access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389
//允許tcp協議3389端口到218.xxx.37.224主機
access-list acl_out extended permit tcp any host 218.xxx.37.225 eq 1433
//允許tcp協議1433端口到218.xxx.37.225主機
access-list acl_out extended permit tcp any host 218.xxx.37.226 eq 8080
//允許tcp協議8080端口到218.xxx.37.226主機
asa5505(config)#show access-list
//驗證配置
13.設置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1
//靜態路由到10.0.0.0網段經過10.10.10.33網關跳數為1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
//默認路由到所有網段經過218.xxx.37.193網關跳數為1
asa5505# show route
//顯示路由信息
14.靜態NAT
asa5505(config)# static (inside,outside) 218.xxx.37.223 192.168.1.6 netmask 255.255.255.255
//外網218.xxx.37.223映射到內網192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any
//控制列表名acl_out允許ICMP協議
asa5505(config)#access-group acl_out in interface outside
//控制列表acl_out應用到outside接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255
//dmz10.10.10.37映射到內網192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any
//控制列表名acl_dmz允許ICMP協議
asa5505(config)#access-group acl_dmz in interface dmz
//控制列表acl_out應用到dmz接口
asa5505(config)#Show nat
//驗證配置
15.動態NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226
//定義全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22
//內部轉換地址池
asa5505(config)# show xlate
//驗證配置
16.基於端口NAT(PAT)
asa5505(config)#global (outside) 2 interface
//定義全局地址即outside地址:218.xxx.37.222
asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0
//內部轉換地址池
asa5505(config)# show xlate
//驗證配置
17.基於LAN故障倒換(failover)
1).主防火牆配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒換虛擬MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒換虛擬MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒換虛擬MAC地址
asa5505(config)#failover
//啟動故障倒換
asa5505(config)#failover lan unit primary
//設置主要防火牆
asa5505(config)#failover lan interface standby Vlan4
//故障倒換接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火牆IP:172.168.32.1,備用防火牆IP:172.168.32.2
asa5505# show failover
//驗證配置
2).備防火牆配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12
//故障倒換虛擬MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22
//故障倒換虛擬MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32
//故障倒換虛擬MAC地址
asa5505(config)#failover
//啟動故障倒換
asa5505(config)#failover lan unit secondary
//設置備用防火牆
asa5505(config)#failover lan interface standby Vlan4
//故障倒換接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
//配置主防火牆IP:172.168.32.1,備用防火牆IP:172.168.32.2
asa5505# show failover
//驗證配置
18.顯示mac地址
asa5505# show switch mac-address-table
19.保存配置
asa5505# write memory
Cisco ASA 5505配置詳解(v8.3之前版本)
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。