ASA_83基本配置

ASA_8.3基本配置1.ASDM图形界面基本配置步骤：1）在asa上面开启hhtps服务，命令如下：ciscoasa(config)#httpserverenable（开启http服务）ciscoasa(config)#http10.10.0.0255.255.0.0inside（指定可网管的地址，必须配置，不然无法网管）ciscoasa(config)#aaaauthenticationhttpconsoleLOCAL(为asdm网管启用AAA认证，LOCAL为内建的AAA服务器的名字，采用本地认证，名字区分大小写；console只是一个关键字不是console口)2）给asa配置管理地址，命令如下：ciscoasa(config)#interfacee0/1ciscoasa(config-if)#nameifinsideciscoasa(config-if)#ipadd10.10.10.10255.255.255.0ciscoasa(config-if)#noshutdown3）配置管理asa的用户名密码，命令如下：ciscoasa(config)#usernameadminpasswordadminprivilege154）使用火狐浏览器在地址栏输入asa的管理地址，如下：，进入asdm管理界面。注意：java安装完后，重新输入上面地址，运行asdm可能会提示java安全阻止该程序运行的问题。解决办法是到java安全设置里面把上述地址加入可信任站点里面。步骤：控制面板程序java安全编辑站点列表输入添加。2.ASA初始化配置1）配置SSH远程登录命令：ciscoasa(config)#cryptokeygeneratersamodulus1024//指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.ciscoasa(config)#writemem//保存刚刚产生的密钥ciscoasa(config)#ssh0.0.0.00.0.0.0outside//0.0.0.00.0.0.0表示任何外部主机都能通过SSH访问outside接口ciscoasa(config)usernameadminpasswordadminprivilege15//为SSH登录配置账密ciscoasa(config)#aaaauthenticationsshconsoleLOCAL//为ssh登录启用aaa认证采用本地数据库认证2）给接口命名并指定ip地址和安全级别说明：①安全级别相同接口之间的流量默认不通，可配置放行，命令如下：ciscoasa(config)#same-security-trafficpermitinter-interface（放行安全级别相同接口之间的流量）ciscoasa(config)#same-security-trafficpermitintra-interface（放行从一个接口先进然后又从同一个接口出的流量）②从安全级别高的到低的流量为outbound流量，默认放行；从低安全级别到高安全级别的流量为inbound流量，默认阻塞。③安全级别越高，越安全④接口一定要命名，不然无法使用该接口。基本配置命令如下：ciscoasa(config)#interfacee0/2ciscoasa(config-if)#nameifinside（给该接口命名）ciscoasa(config-if)#security-level100（指定该接口的安全级别）ciscoasa(config-if)#ipaddress10.10.10.10255.255.255.0ciscoasa(config-if)#noshutdown3）可以配置子接口并划分vlan命令如下：ciscoasa(config)#inte0/2ciscoasa(config-if)#noshutdown（启用父接口）ciscoasa(config)#interfaceethernet0/2.2ciscoasa(config-subif)#vlan2（指定该接口属于哪个vlan）ciscoasa(config-subif)#nameifvlan2（给该接口命名）ciscoasa(config-subif)#security-level80（指定该接口的安全级别）ciscoasa(config-subif)#ipaddress10.10.2.254255.255.255.0ciscoasa(config-subif)#noshutdown4）配置静态路由及动态路由1）静态路由：ciscoasa(config)#routeinside10.10.0.0255.255.255.010.10.10.10（指定从inside接口出，到10.10.0.0网段的路由）2）动态路由：ciscoasa(config)#routerospf1（开启ospf进程）ciscoasa(config-router)#network10.10.10.0255.255.255.0area0（注意：asa中用子网掩码声明网段而不是用路由器中的反掩码，在asa中没有反掩码）3.ASA5510_8.3防火墙基本配置1）恢复出厂设置命令：ciscoasa(config)#writeerase（清掉startup-config）ciscoasa(config)#clearconfigureall（清running-config）2）指定outside接口，并为该接口配置globalIP地址命令：ciscoasa(config)#interfacee0/0ciscoasa(config-if)#nameifoutside说明：若isp提供的是静态的IP地址，则默认网关的配置方法是在outside接口中指定一条默认路由指向isp给定的默认网关地址命令：ciscoasa(config)#routeoutside00192.168.6.2543）指定inside接口，并为该接口配置本地ip地址命令：ciscoasa(config)#interfaceethernet0/1ciscoasa(config-if)#nameifinsideciscoasa(config-if)#ipaddress10.10.1.252255.255.255.0ciscoasa(config-if)#noshutdown4）做NAT以便内部主机可以正常上网命令：ciscoasa(config)#objectnetworknatciscoasa(config-network-object)#descriptionnat_for_inside_to_outsideciscoasa(config-network-object)#subnet10.10.0.0255.255.0.0ciscoasa(config-network-object)#nat(inside,outside)dynamicinterface5）开启防火墙的DHCP功能，为每个vlan分配ip地址命令：ciscoasa(config)#dhcpdaddress10.10.10.1-10.10.10.250vlan1（定义dhcppool的范围）ciscoasa(config)#dhcpdenablevlan1（在vlan1接口启用dhcpserver服务）ciscoasa(config)#dhcpddns10.10.10.254interfacevlan1（指定vlan1接口下的dns服务器地址）ciscoasa(config)#dhcpdlease3600（设置dhcp租约的时间，单位是秒）6）ACL配置①放行outside接口in方向的icmp流量，以便进行ping测试命令：access-listglobal_accessextendedpermiticmpanyany②放行ip流量的（可配可不配）命令：access-listglobal_accessextendedpermitip10.10.0.0255.255.0.0any③在全局运用该acl访问控制列表命令：access-groupglobal_accessglobal7）端口映射，将内部服务器的某个端口映射到外部方法1：配置步骤：①给内部服务器取个名字是SERVER命令：ciscoasa(config)#objectnetworkSERVER②指定内部服务器的地址命令：ciscoasa(config-network-object)#host192.168.2.2③做端口映射，指定映射的端口命令：ciscoasa(config-network-object)#nat(inside,outside)staticinterfaceservicetcp33893389方法2：ASDM配置步骤：①新建一个service对象，选择要被映射出去的端口号②新建nat规则8）SSLVPNanyconnect模式通过asdm向导配置步骤如下图示：Nat策略的配置命令如下：①新增object对象名为remote_vpn_network并指定其IP地址范围命令：ciscoasa(config)#objectnetworkremote_vpn_networkciscoasa(config-network-object)#subnet10.10.11.0255.255.255.0②以同样的方法加添object名为INSIDE_NETWORK并指定地址范围③将去往anyconnect_vpn网段的源和目的ip地址都转换成自己，也即不转换，命令如下：ciscoasa(config)#nat(inside,outside)sourcestaticINSIDE_NETWORKINSIDE_NETWORKdestinationstaticremote_vpn_networkremote_vpn_network至此asa中的vpn配置完毕，然后到用户的浏览器中以https方式访问asaoutside接口的ip地址，如：。