asa 5505配置常用指令

在配ASA 5505時用到的指令

nat-control指令 在6.3的時候隻要是穿越防火牆都需要建立轉換項，比如：nat；static等等，沒有轉換項是不能穿越防火牆的，但是到了7.0這個規則有了變化，不需要任何轉換項也能正常的像路由器一樣穿越防火牆。但是一個新的指令出現了！當你打上nat-control這個指令的時候，這個規則就改變得和6.3時代一樣必須要有轉換項才能穿越防火牆了。7.0以後開始 nat-control 是預設關閉的，關閉的時候允許沒有配置NAT規則的前提下和外部主機通信，相當于路由器一樣，啟用NAT開關後内外網就必須通過NAT轉換才能通信 1、定義外口 interface Ethernet0/0 進入端口 nameif outside 定義端口為外口 security-level 0 定義安全等級為0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 設定IP 2、定義内口 interface Ethernet0/1 nameif inside 定義端口為内 security-level 100 定義端口安去昂等級為100 no shut ip address 192.168.1.1 255.255.255.0 3、定義内部NAT範圍。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT，可以自由設定範圍。 4、定義外網位址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 當ISP隻配置設定給一個IP是，直接使用配置設定給外口的IP位址。 5、設定預設路由 route outside 0 0 218.17.148.14 指定下一條為IPS指定的網關位址 檢視NAT轉換情況 show xlate --------------------------------------------------- 一：6個基本指令： nameif、 interface、 ip address 、nat、 global、 route。 二：基本配置步驟： step1: 命名接口名字 nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 ＊＊7版本的配置是先進入接口再命名。 step2：配置接口速率 interface ethernet0 10full auto interface ethernet1 10full auto interface ethernet2 10full step3：配置接口位址 ip address outside 218.106.185.82 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.1 255.255.255.0 step4：位址轉換（必須） * 安全高的區域通路安全低的區域（即内部到外部）需NAT和global; nat(inside) 1 192.168.1.1 255.255.255.0 global(outside) 1 222.240.254.193 255.255.255.248 ＊＊＊ nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1這個位址不需要轉換。直接轉發出去。 * 如果内部有伺服器需要映射到公網位址(外網通路内網)則需要static和conduit或者acl. static (inside, outside) 222.240.254.194 192.168.1.240 static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 後面的10000為限制連接配接數，10為限制的半開連接配接數。 conduit permit tcp host 222.240.254.194 eq www any conduit permit icmp any any (這個指令在做測試期間可以配置，測試完之後要關掉，防止不必要的漏洞) ACL實作的功能和conduit一樣都可實作政策通路，隻是ACL稍微麻煩點。conduit現在在7版本已經不能用了。 Access-list 101 permit tcp any host 222.240.254.194 eq www Access-group 101 in interface outside (綁定到接口) ＊＊＊允許任何位址到主機位址為222.240.254.194的www的tcp通路。 Step5：路由定義： Route outside 0 0 222.240.254.193 1 Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1 ＊＊如果内部網段不是直接接在防火牆内口，則需要配置到内部的路由。 Step6：基礎配置完成，儲存配置。 Write memory write erase 清空配置 reload 要想配置思科的防火牆得先了解這些指令： 常用指令有：nameif、interface、ip address、nat、global、route、static等。 global 指定公網位址範圍：定義位址池。 Global指令的配置文法： global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中： (if_name)：表示外網接口名稱，一般為outside。 nat_id：建立的位址池辨別(nat要引用)。 ip_address-ip_address：表示一段ip位址範圍。 [netmark global_mask]：表示全局ip位址的網絡掩碼。 nat 位址轉換指令，将内網的私有ip轉換為外網公網ip。 nat指令配置文法：nat (if_name) nat_id local_ip [netmark] (if_name)：表示接口名稱，一般為inside. nat_id： 表示位址池，由global指令定義。 local_ip：表示内網的ip位址。對于0.0.0.0表示内網所有主機。 [netmark]：表示内網ip位址的子網路遮罩。 route route指令定義靜态路由。 文法： route (if_name) 0 0 gateway_ip [metric] (if_name)：表示接口名稱。 0 0 ：表示所有主機 Gateway_ip：表示網關路由器的ip位址或下一跳。 [metric]：路由花費。預設值是1。 static 配置靜态IP位址翻譯，使内部位址與外部位址一一對應。 static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address internal_if_name表示内部網絡接口，安全級别較高，如inside。 external_if_name表示外部網絡接口，安全級别較低，如outside。 outside_ip_address表示外部網絡的公有ip位址。 inside_ ip_address表示内部網絡的本地ip位址。 (括号内序順是先内後外，外邊的順序是先外後内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip位址192.168.0.8，通路外部時被翻譯成133.0.0.1全局位址 ************************************************************************** asa#conf t asa(config)# hostname asa //設定主機名 asa(config)#enable password cisco //設定密碼 配置外網的接口，名字是outside，安全級别0，輸入ISP給您提供的位址就行了。 asa(config)#interface GigabitEthernet0/0 asa(config)#nameif outside // 名字是outside asa(config)#securit-level 0 // 安全級别0 asa(config)#ip address *.*.*.* 255.255.255.0 // 配置公網IP位址 asa(config)#duplex full asa(config)# asa(config)#no shutdown 配置内網的接口，名字是inside，安全級别 100 asa(config)#interface GigabitEthernet0/1 asa(config)#nameif inside asa(config)#securit-level 100 asa(config)#speed 100 配置DMZ的接口,名字是dmz，安全級别50 asa(config)#interface GigabitEthernet0/2 asa(config)#nameif dmz asa(config)#securit-level 50 網絡部分設定 asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0 asa(config)#global(outside) 1 222.240.254.193 255.255.255.248 asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 // 表示192.168.1.1這個位址不需要轉換。直接轉發出去。 asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 //定義的位址池 asa(config)#nat (inside) 1 0 0 //0 0表示轉換網段中的所有位址。定義内部網絡位址将要翻譯成的全局位址或位址範圍 配置靜态路由 asa(config)#route outside 0 0 133.0.0.2 // 設定預設路由 133.0.0.2為下一跳 如果内部網段不是直接接在防火牆内口，則需要配置到内部的路由。 asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1 位址轉換 asa(config)#static (dmz，outside) 133.1.0.1 10.65.1.101 ; 靜态NAT asa(config)#static (dmz，outside) 133.1.0.2 10.65.1.102 ; 靜态NAT asa(config)#static (inside，dmz) 10.66.1.200 10.66.1.200 ; 靜态NAT 如果内部有伺服器需要映射到公網位址(外網通路内網)則需要static asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 //後面的10000為限制連接配接數，10為限制的半開連接配接數 ACL實作政策通路 asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;設定ACL asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;設定ACL asa(config)#access-list 101 deny ip any any ; 設定ACL asa(config)#access-group 101 in interface outside ; 将ACL應用在outside端口 當内部主機通路外部主機時，通過nat轉換成公網IP，通路internet。 當内部主機通路中間區域dmz時，将自己映射成自己通路伺服器，否則内部主機将會映射成位址池的IP，到外部去找。 當外部主機通路中間區域dmz時，對133.0.0.1映射成 10.65.1.101，static是雙向的。 PIX的所有端口預設是關閉的，進入PIX要經過acl入口過濾。 靜态路由訓示内部的主機和dmz的資料包從outside口出去。 ----------------------------------------------- 例子: sh run : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 2KFQnbNIdI.2KYOU encrypted names interface Vlan1 nameif inside security-level 100 ip address 10.115.25.1 255.255.255.0 interface Vlan2 nameif outside security-level 0 ip address 124.254.4.78 255.255.255.248 interface Ethernet0/0 switchport access vlan 2 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns domain-lookup outside access-list 100 extended permit icmp any any access-list 100 extended permit tcp any host 124.254.4.78 eq www access-list 100 extended permit tcp any host 124.254.4.78 eq smtp access-list 100 extended permit tcp any host 124.254.4.78 eq pop3 access-list 100 extended permit tcp any host 124.254.4.78 eq ftp access-list 100 extended permit tcp any host 124.254.4.78 eq ssh access-list 100 extended permit tcp any host 124.254.4.78 eq pcanywhere-data access-list 100 extended permit udp any host 124.254.4.78 eq pcanywhere-status access-list 100 extended permit tcp any host 124.254.4.78 eq 8086 access-list 100 extended permit tcp any host 124.254.4.78 eq 3389 access-list 100 extended permit tcp any host 124.254.4.78 eq 2401 access-list 100 extended permit ip any any access-list 100 extended permit ip any host 124.254.4.78 pager lines 24 mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) tcp 124.254.4.78 www 10.115.25.2 www netmask 255.255.255.255 static (inside,outside) tcp 124.254.4.78 ftp 10.115.25.2 ftp netmask 255.255.255.255 static (inside,outside) tcp 124.254.4.78 smtp 10.115.25.2 smtp netmask 255.255.255.255 static (inside,outside) tcp 124.254.4.78 pop3 10.115.25.2 pop3 netmask 255.255.255.255 static (inside,outside) tcp 124.254.4.78 3389 10.115.25.2 3389 netmask 255.255.255.255 static (inside,outside) tcp 124.254.4.78 8086 10.115.25.2 8086 netmask 255.255.255.255 static (inside,outside) 124.254.4.78 10.115.25.2 netmask 255.255.255.255 access-group 100 in interface outside route outside 0.0.0.0 0.0.0.0 124.254.4.73 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no crypto isakmp nat-traversal telnet 10.115.25.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect http service-policy global_policy global prompt hostname context Cryptochecksum:deca4473c55485d04a622b1b9fca73d8 : end ciscoasa#