CISCO ASA5525网络设置
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISCO ASA5525网络设置相关的知识,希望对你有一定的参考价值。
ASA5525
端口0 interface GigabitEthernet0/0
IP:10.0.0.1
端口1 interface GigabitEthernet0/1
IP:10.0.0.5
端口2 interface GigabitEthernet0/2
IP:192.168.100.254
端口0 下接三层交换机A
和ASA5525端口对接的ip 10.0.0.2
192.168.10.0
。
192.168.30.0
端口1 下接三层交换机B
和ASA5525端口对接的ip 10.0.0.6
192.168.40.0
。
192.168.60.0
端口0和三层A已全打通
端口1 和三层B已全打通
解决问题:
如何让 ASA5525 端口2 能打通 端口0和1下 三层上所有网段?
不是很明白?能写下配置吗?
追答interface GigabitEthernet0/0
nameif dmz1
security-level 100
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif dmz2
security-level 100
ip address 10.0.0.5 255.255.255.252
!
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 192.168.100.254 255.255.255.0
same-security-traffic permit inter-interface
route dmz1 192.168.10.0 255.255.255.0 10.0.0.2
route dmz1 192.168.30.0 255.255.255.0 10.0.0.2
route dmz2 192.168.40.0 255.255.255.0 10.0.0.6
route dmz2 192.168.60.0 255.255.255.0 10.0.0.6
Cisco—ASA的基本思路和应用
ASA-防火墙-cisco
ASA防火墙的作用 1、在网络中隔离危险流量,不分地点。 ASA防火墙的原理 1、通过安全级别区分不同的区域:内部区域、外部区域、非军事化区域。 默认情况下: 高级别的流量可以去低级别的, 低级别的流量不可以去高级别的, 同级别的不可同信。 Inside 默认安全级别为 100 名字唯一 Outside 默认安全几倍为 0 名字唯一 MDZ(非军事化区域) 默认安全级别为0 名字唯一 2、部署 在需要进行安全防护或者流量隔离的地方部署。 经典部署方案 ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch |
DMZ(Server) ISP ----- GW -- outside -- FW -- |
-- FW ----- Core-Router -- Core-Switch |
---|
DMZ(server)
3、防火墙接口的配置
1、要配以接口名字(逻辑名字):nameif xxx
2、要配以接口安全级别 security-level 0~100
3、要配以接口IP ip address xxxx
ASA流量转发
1、流量转发方式
出站流量:从高安全级别的地方去往低级别的流量。
入站流量:从低安全级别的地方去往高级别的流量。
2、转发处理流量的方式,工作过程。
a、只对TCP和UDP的流量,对其他流量统统干掉。
b、从高安全级别发向低安全级别的工作过程。
先匹配本地ASA的路由表,如果匹配则先确定出端口,转发出去,并在conn表内形成一个条目。
匹配不成功则丢弃。
c、当收到发送出去的流量的回包,则先查看conn表,有条目则在查看路由表,转发出去。
没有条目则丢弃。
实验结果
ping不通
telnet通
想要ping通,则在ping包的回端口上调用acl
验证命令:
ASA:
show interface ip brief <---查看接口的状态和IP地址;
show route <---查看 ASA 上面的路由表
show run interface gi0 <----查看某一个接口的配置
ASA(config)# clear config all <----清除正在运行的配置文件
Router:
show ip interface brief
show ip route
ACL和conn表的对比。
实验基本环境 :
Inside 安全等级100
Outside 安全等级 0
Dmz 安全等级 50
R1可以telnetR2和R4,R4可以telnetR2。
1、在e2的接口上调用一个允许R4访问R1的ACL,能不能访问,会不会形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之后
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23, idle 0:00:54, bytes 163, flags UIOB
结论:主动流量不管从高到低,还是低到高,如果端口有acl放行规则,则查找路由表,确定出端口,转发出去,同时形成conn表。(注意顺序,不可变)。
2、R1能telnet到R2
a、如果e0调用一个出项acl,会不会通。
b、如果e1条用一个入项acl,会不会通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 (注意数据回去的时候的端口)
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最后一条acl的默认拒绝的影响
ASA(config)# access-group Gdtel in interface outside 调用入项
ASA(config)# access-group Gdtel out interface inside 调用出项
Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
结论,只要是从高安全级别出去的流量,形成了conn表,在数据返回时,就相当于多了一道免死金牌,不会被干掉
3、R1能telnet到R2
a、如果在e0调用入项的拒绝acl,会不会通。
b、如果在e1调用出项的拒绝acl,会不会通。
结论,对于a条件,那是必然不通的
对于b条件,也是不同的,且没有conn表。
原因:如果在e1调用出项的拒绝acl,那么数据是可以进入ASA中,并查看路由表,路由表中,包含着R1的telnetR2的路怎么走,从哪个端口出去,这时就要查看这个出端口有没有acl,一查有一个出项的acl,那么这个数据直接被pass,并且不会形成conn表。
如图》》》》
ASA应用 PNAT
8.4版本以后系统中的一种新型配置。
PNAT
内网访问外网
ASA(config)# object network NAT(随意起) 为NAT定义一个对象类型(network)。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相当于创建acl
ASA(config-network-object)# nat (inside(内网端口),outside(外网端口)) dynamic interface 相当于调 用acl
以上是关于CISCO ASA5525网络设置的主要内容,如果未能解决你的问题,请参考以下文章