思科ASA防火墙部署和基本配置 |
您所在的位置:网站首页 › 思科wap321设置 › 思科ASA防火墙部署和基本配置 |
思科ASA防火墙部署和基本配置
|
第一步、先把各个设备的接口IP配置好 > 路由器的省略,演示ASA防火墙 配置接口IP ASA(config)# int g0 ASA(config-if)# no shutdown ASA(config-if)# nameif outside (将g0口定义为外接口) ASA(config-if)# security-level 0 (权限等级设置为0) ASA(config-if)# ip addr 11.1.1.2 255.255.255.0 ASA(config-if)# int g1 (将g1口定义为dmz接口) ASA(config-if)# no shutdown ASA(config-if)# nameif dmz ASA(config-if)# security-level 50 (权限等级设置为50) ASA(config-if)# ip address 172.16.1.1 255.255.255.0 ASA(config-if)# int g2 (将g2口定义为内接口) ASA(config-if)# no shutdown ASA(config)# int g2.2 (进入子接口,并封装VLAN2) ASA(config-subif)# vlan 2 ASA(config-subif)# nameif inside2 ASA(config-subif)# security-level 100 ASA(config-subif)# ip addr 192.168.100.1 255.255.255.0 ASA(config)# int g2.3 ASA(config-subif)# vlan 3 (进入子接口,并封装VLAN3) ASA(config-subif)# nameif inside3 ASA(config-subif)# security-level 100 (权限等级设置为100) ASA(config-subif)# ip addr 192.168.200.1 255.255.255.0第二步、三层交换机划分VLAN 并吧相应接口加入对应VLAN R1(config)#vlan 2 R1(config-vlan)#name vlan2 R1(config-vlan)#exit R1(config)#vlan 3 R1(config-vlan)#name vlan3 R1(config-vlan)#exit R1(config)#int f1/1 R1(config-if)#switchport mode access R1(config-if)#switchport access vlan 2 R1(config)#int range f1/2 - 3 R1(config-if-range)#sw mo access R1(config-if-range)#sw acc vlan 3 R1(config)#int f1/0 R1(config-if)#sw tr en d R1(config-if)#sw mo tr第三步、R2 R3 R4 ASA 配置默认路由 R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1 R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 ASA(config)#route 0 0 11.1.1.1 ASA(config)#fixup protocol icmp (防火墙必须开启此命令 才可以ping通)第四步、在企业边界路由器(R5)上配置静态路由 R5(config)#ip route 192.168.100.0 255.255.255.0 11.1.1.2 R5(config)#ip route 192.168.200.0 255.255.255.0 11.1.1.2 R5(config)#ip route 172.16.1.0 255.255.255.0 11.1.1.2第五步、在企业边界路由器(R5)上配置PAT R5(config)#int f0/1 R5(config-if)#ip nat outside R5(config-if)#int f0/0 R5(config-if)#ip nat inside R5(config)#access-list 1 permit 192.168.100.0 0.0.0.255 R5(config)#access-list 1 permit 192.168.200.0 0.0.0.255 R5(config)#ip nat inside source list 1 interface fastethernet 0/1DMZ区域基于TCP、UDP访问Inside2区域 ASA(config)#access-list 101 extended permit tcp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)#access-list 101 extended permit udp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)# access-group 101 in interface dmzInside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问 ASA(config)# same-security-traffic permit inter-interface结束 |
项目案例拓扑分析: 整个网络拓扑分三个部分:企业边界网络、DMZ区域和Inside区域,分析如下 (1)企业边界网络:路由器出接口IP可以是固定的,也有可能不固定的,IP通过DHCP获得的或拨号获得的,R1配置为PAT服务器。根据需要R1和防火墙ASA1可以合二为一,防火墙直接连入互联网。 (2)核心安全设备ASA1是路由+NAT部署模式或路由模式。接口逻辑名称,安全级别如图示配置,G2接口需要划分两个子接口G2.2和G2.3,分别封装成VLAN2和VLAN3;ASA1也可配置动态PAT。 (3)DMZ区域:C2是HTTP、FTP、Telnet、E_Mail服务器,R2可为测试用。 R2:172.16.1.10/24 C2:172.16.1.20/24 (4)Inside区域:划分2个子区域Inside2(Vlan2)和Inside3(Vlan3): Inside2(Vlan2)接口IP:192.168.100.1/24,安全级别100。 Inside3(Vlan3)接口IP:192.168.200.1/24,安全级别100。 (5)SW2为多层交换机 划分2个VLAN:2和3;R4用户为VLan2,R5和C3用户为Vlan3. R4:192.168.100.4/24 R5:192.168.200.5/24 C3:192.168.200.3/24 (6)SW1为普通二层交换机 3、IP地址规划 (1)Inside区域:Inside2子区域:192.168.100.0/24和Inside3子区域:192.168.200.0/24 (2)DMZ区域:172.16.1.0/24,R2和C2 IP地址如图示。 (3)ASA1和R1之间网络2个地址11.1.1.2/24和11.1.1.1/24 (4)各设备接口IP地址如拓扑图标示 四、项目实训要求 1、R1配置默认路由,配置动态PAT,允许Inside2和Inside3接口的网络访问Internet;f0/0的IP通过DHCP或拨号获得。如果ASA1也配置动态PAT,R1上动态PAT如何配置呢? 2、配置ASA1 接口G0、G1的逻辑名称、安全级别和IP地址。 3、配置ASA1 接口G2:划分2个子接口G2.2和G2.3并封装成Vlan2、Vlan3、逻辑名称分别是Inside2和Inside3、安全级别都为100,IP地址G2.2:192.168.100.1/24,G2.3:192.168.200.1/24。 4、ASA1为路由模式或为路由+NAT模式(二选一): 路由模式:配置静态默认路由 路由+NAT模式:配置动态PAT、配置静态默认路由。 5、Inside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问 6、配置R2、R4、R5的IP地址和路由 7、Inside2区域和DMZ区域能够基于TCP和UDP相互访问 8、Inside3区域和DMZ区域关于ICMP协议可根据实训需求配置以测试连通性,允许Inside3区域可以Ping通DMZ区域,但DMZ区域只有C2能与Inside3区域的C3相互Ping通。 五、实训需要知识点和技术 1、知识点: (1)路由器和防火墙工作原理 (2)状态化连接、默认访问规则 (3)动态PAT工作原理。 2、技术: (1)NAT配置技术 (2)ACL配置技术 (3)路由配置技术 (4)服务器配置技术【本文地址】
今日新闻 |
推荐新闻 |