思科ASA防火墙部署和基本配置 |
您所在的位置:网站首页 › 思科wap321设置 › 思科ASA防火墙部署和基本配置 |
第一步、先把各个设备的接口IP配置好 > 路由器的省略,演示ASA防火墙 配置接口IP ASA(config)# int g0 ASA(config-if)# no shutdown ASA(config-if)# nameif outside (将g0口定义为外接口) ASA(config-if)# security-level 0 (权限等级设置为0) ASA(config-if)# ip addr 11.1.1.2 255.255.255.0 ASA(config-if)# int g1 (将g1口定义为dmz接口) ASA(config-if)# no shutdown ASA(config-if)# nameif dmz ASA(config-if)# security-level 50 (权限等级设置为50) ASA(config-if)# ip address 172.16.1.1 255.255.255.0 ASA(config-if)# int g2 (将g2口定义为内接口) ASA(config-if)# no shutdown ASA(config)# int g2.2 (进入子接口,并封装VLAN2) ASA(config-subif)# vlan 2 ASA(config-subif)# nameif inside2 ASA(config-subif)# security-level 100 ASA(config-subif)# ip addr 192.168.100.1 255.255.255.0 ASA(config)# int g2.3 ASA(config-subif)# vlan 3 (进入子接口,并封装VLAN3) ASA(config-subif)# nameif inside3 ASA(config-subif)# security-level 100 (权限等级设置为100) ASA(config-subif)# ip addr 192.168.200.1 255.255.255.0第二步、三层交换机划分VLAN 并吧相应接口加入对应VLAN R1(config)#vlan 2 R1(config-vlan)#name vlan2 R1(config-vlan)#exit R1(config)#vlan 3 R1(config-vlan)#name vlan3 R1(config-vlan)#exit R1(config)#int f1/1 R1(config-if)#switchport mode access R1(config-if)#switchport access vlan 2 R1(config)#int range f1/2 - 3 R1(config-if-range)#sw mo access R1(config-if-range)#sw acc vlan 3 R1(config)#int f1/0 R1(config-if)#sw tr en d R1(config-if)#sw mo tr第三步、R2 R3 R4 ASA 配置默认路由 R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.200.1 R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 ASA(config)#route 0 0 11.1.1.1 ASA(config)#fixup protocol icmp (防火墙必须开启此命令 才可以ping通)第四步、在企业边界路由器(R5)上配置静态路由 R5(config)#ip route 192.168.100.0 255.255.255.0 11.1.1.2 R5(config)#ip route 192.168.200.0 255.255.255.0 11.1.1.2 R5(config)#ip route 172.16.1.0 255.255.255.0 11.1.1.2第五步、在企业边界路由器(R5)上配置PAT R5(config)#int f0/1 R5(config-if)#ip nat outside R5(config-if)#int f0/0 R5(config-if)#ip nat inside R5(config)#access-list 1 permit 192.168.100.0 0.0.0.255 R5(config)#access-list 1 permit 192.168.200.0 0.0.0.255 R5(config)#ip nat inside source list 1 interface fastethernet 0/1DMZ区域基于TCP、UDP访问Inside2区域 ASA(config)#access-list 101 extended permit tcp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)#access-list 101 extended permit udp 172.16.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)# access-group 101 in interface dmzInside2子区域和Inside3子区域:192.168.100.0/24和192.168.200.0/24能够相互访问 ASA(config)# same-security-traffic permit inter-interface结束 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |