CISCO ASA5525网络设置

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISCO ASA5525网络设置相关的知识,希望对你有一定的参考价值。

ASA5525
端口0 interface GigabitEthernet0/0
IP:10.0.0.1

端口1 interface GigabitEthernet0/1
IP:10.0.0.5

端口2 interface GigabitEthernet0/2
IP:192.168.100.254

端口0 下接三层交换机A
和ASA5525端口对接的ip 10.0.0.2
192.168.10.0

192.168.30.0

端口1 下接三层交换机B
和ASA5525端口对接的ip 10.0.0.6
192.168.40.0

192.168.60.0

端口0和三层A已全打通
端口1 和三层B已全打通

解决问题:
如何让 ASA5525 端口2 能打通 端口0和1下 三层上所有网段?

参考技术A 安全级别配上去,然后写上ACL放行,挂到接口下就行了。追问

不是很明白?能写下配置吗?

追答

interface GigabitEthernet0/0
nameif dmz1
security-level 100
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif dmz2
security-level 100
ip address 10.0.0.5 255.255.255.252
!
interface GigabitEthernet0/2
nameif inside
security-level 100
ip address 192.168.100.254 255.255.255.0

same-security-traffic permit inter-interface
route dmz1 192.168.10.0 255.255.255.0 10.0.0.2
route dmz1 192.168.30.0 255.255.255.0 10.0.0.2
route dmz2 192.168.40.0 255.255.255.0 10.0.0.6
route dmz2 192.168.60.0 255.255.255.0 10.0.0.6

参考技术B 同安全级别区域互相访问的时候加上命令 same-security-traffic permit inter-interface可以实现互访。 参考技术C 你把接口下的配置show running-config,复制过来看看。。。

Cisco—ASA的基本思路和应用

                 ASA-防火墙-cisco
ASA防火墙的作用
1、在网络中隔离危险流量,不分地点。
ASA防火墙的原理
1、通过安全级别区分不同的区域:内部区域、外部区域、非军事化区域。
默认情况下: 高级别的流量可以去低级别的,
低级别的流量不可以去高级别的,
同级别的不可同信。
Inside 默认安全级别为 100 名字唯一
Outside 默认安全几倍为 0 名字唯一
MDZ(非军事化区域) 默认安全级别为0 名字唯一
2、部署
在需要进行安全防护或者流量隔离的地方部署。
经典部署方案
ISP ----- FW ---- GW ---- Core-Router ---- Core-Switch
ISP ----- GW -- outside--- FW -- inside-- Core-Router ---- Core-Switch

DMZ(Server)
ISP ----- GW -- outside -- FW --
-- FW ----- Core-Router -- Core-Switch
                             DMZ(server)

3、防火墙接口的配置
1、要配以接口名字(逻辑名字):nameif xxx
2、要配以接口安全级别 security-level 0~100
3、要配以接口IP ip address xxxx
ASA流量转发
1、流量转发方式
出站流量:从高安全级别的地方去往低级别的流量。
入站流量:从低安全级别的地方去往高级别的流量。
2、转发处理流量的方式,工作过程。
a、只对TCP和UDP的流量,对其他流量统统干掉。
b、从高安全级别发向低安全级别的工作过程。
先匹配本地ASA的路由表,如果匹配则先确定出端口,转发出去,并在conn表内形成一个条目。
匹配不成功则丢弃。
c、当收到发送出去的流量的回包,则先查看conn表,有条目则在查看路由表,转发出去。
没有条目则丢弃。
实验结果
ping不通
telnet通
想要ping通,则在ping包的回端口上调用acl
技术分享图片

验证命令:
ASA:
show interface ip brief <---查看接口的状态和IP地址;
show route <---查看 ASA 上面的路由表
show run interface gi0 <----查看某一个接口的配置
ASA(config)# clear config all <----清除正在运行的配置文件
Router:
show ip interface brief
show ip route

ACL和conn表的对比。
技术分享图片

实验基本环境 :
Inside 安全等级100
Outside 安全等级 0
Dmz 安全等级 50
R1可以telnetR2和R4,R4可以telnetR2。
1、在e2的接口上调用一个允许R4访问R1的ACL,能不能访问,会不会形成conn表。
ASA(config)# access-list R1 permit tcp host 192.168.3.1 host 192.168.1.1 eq 23
ASA(config)# access-group R1 in interface DMZ
在R4telnetR1之前
ASA# show conn
0 in use, 1 most usedDMZ#telnet 192.168.1.1
R4telnetR1
Trying 192.168.1.1 ... Open
User Access Verification
Password:
Inside>enable
Password:
Inside#
telnet之后
1 in use, 2 most used
TCP DMZ 192.168.3.1:21477 inside 192.168.1.1:23, idle 0:00:54, bytes 163, flags UIOB
结论:主动流量不管从高到低,还是低到高,如果端口有acl放行规则,则查找路由表,确定出端口,转发出去,同时形成conn表。(注意顺序,不可变)。

2、R1能telnet到R2
a、如果e0调用一个出项acl,会不会通。
b、如果e1条用一个入项acl,会不会通。
ASA(config)# access-list Gdtel deny tcp host 192.168.1.1 eq 23 (注意数据回去的时候的端口)
host 192.168.2.1
ASA(config)# access-list Gdtel permit ip any any 取消最后一条acl的默认拒绝的影响
ASA(config)# access-group Gdtel in interface outside 调用入项
ASA(config)# access-group Gdtel out interface inside 调用出项

Inside#telnet 192.168.2.1
Trying 192.168.2.1 ... Open
Outside>
Outside>en
Outside>enable
Password:
Outside#
结论,只要是从高安全级别出去的流量,形成了conn表,在数据返回时,就相当于多了一道免死金牌,不会被干掉

3、R1能telnet到R2
a、如果在e0调用入项的拒绝acl,会不会通。
b、如果在e1调用出项的拒绝acl,会不会通。
结论,对于a条件,那是必然不通的
对于b条件,也是不同的,且没有conn表。
原因:如果在e1调用出项的拒绝acl,那么数据是可以进入ASA中,并查看路由表,路由表中,包含着R1的telnetR2的路怎么走,从哪个端口出去,这时就要查看这个出端口有没有acl,一查有一个出项的acl,那么这个数据直接被pass,并且不会形成conn表。
如图》》》》
技术分享图片
ASA应用 PNAT
8.4版本以后系统中的一种新型配置。
技术分享图片
PNAT
内网访问外网
ASA(config)# object network NAT(随意起) 为NAT定义一个对象类型(network)。
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 相当于创建acl
ASA(config-network-object)# nat (inside(内网端口),outside(外网端口)) dynamic interface 相当于调 用acl

以上是关于CISCO ASA5525网络设置的主要内容,如果未能解决你的问题,请参考以下文章

用Cisco Packet Tracer 如何添加Cisco ASA 防火墙设备

ASA下邮件发送经常失败

Cisco ASA基础——安全算法与基本配置

Cisco ASA 端口映射设置

Cisco ASA防火墙原地址与目的地址NAT

Cisco ASA防火墙——远程控制与多安全区域