【图片】CCNA 防火墙ASA5505的基本配置【cisco吧】

ASA5505防火墙的基本配置：
目的：允许outside的网络访问inside的服务器的http以及icmp
防火墙是分区域的inside的安全等级是100 outside的安全等级是0
默认情况下高等级可以到低等级，低等级不可以到高等级，除非写ACL允许通过
或是其他的方法

因为ASA5505是没有动态路由的，只能依靠外部的路由器通过写静态路由然后重分布到动态路由才可以实现动态路由这一说法
默认情况下 Ethernet 0/0 是绑定vlan 2 outside
Ethernet 0/1 是绑定vlan 1 inside
vlan1 IP地址192.168.1.1/24 dhcpd192.168.1.5-192.168.1-35
（这是ASA5505默认的配置连接inside接口的客户机直接点dhcp就可以获得IP地址，可以改它的IP地址或者自己定义，可以是静态的自己输入）
ASA防火墙的配置:首先先配置inside vlan1 的接口的IP地址以及inside，dhcpd的地址池
如果你觉得默认地址也可以那就跳过这一步用默认的地址
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#no ip address （要先删掉ASA默认的IP地址才能配置其他的地址）
ciscoasa(config-if)#ip address 1.1.1.1255.255.255.0
ciscoasa(config)#dhcpd address1.1.1.2-1.1.1.254 inside （IP地址池范围）
ciscoasa(config)#dhcpd dns 8.8.8.8interface inside （也给dhcpd分配dns）
ciscoasa(config)#interface vlan 2 （配置vlan2 outside的IP地址）
ciscoasa(config-if)#ip address 192.168.1.1255.255.255.0
ciscoasa(config-if)#exit
ciscoasa(config)#access-list cisco extendedpermit icmp 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0 （在ASA上写一条允许IP地址2.2.2.0到1.1.1.0的icmp包）
ciscoasa(config)# ciscoasa(config)#access-listcisco extended permit tcp 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0 eq www （再写一条允许http通过的ACL）
ciscoasa(config)#access-group cisco ininterface outside
（并将它绑定在outside区方向为in）
ciscoasa(config)#route outside 0.0.0.00.0.0.0 192.168.1.2
（写一条指向外网outside的默认路由）
路由器R1上的配置
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.1255.255.255.0
R1(config-subif)#no ip address
R1(config)#interface fastEthernet 0/1
R1(config-if)#ip address 192.168.2.1255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 1.1.1.0 255.255.255.0192.168.1.1 （写一条路由器到达防火墙内部的1.1.1.0网段的静态路由然后将这条路由重分布到ospf ）
R1(config)#router ospf 1
R1(config-router)#network 192.168.1.20.0.0.0 area 0
R1(config-router)#network 192.168.2.10.0.0.0 area 0
R1(config-router)#redistribute staticsubnets （重分布到达防火墙1.1.1.0的静态路由）
路由器R2上的配置
R2(config-if)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.2.2 255.255.255.0
R2 (config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface fastEthernet 0/1
R2(config-if)#ip addres 2.2.2.254255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#network 192.168.2.20.0.0.0 area 0
R2(config-router)#network 2.2.2.254 0.0.0.0area 0

R2(config)#do show ip route
我们可以查看R2上的路由表:打上E2标签的路由就是ASA的网段路由

测试icmp包的是否通过很明显是通过的

外网PC的IP地址

访问内网的http服务器

ping一下试试

文档的红字看起来比较简单

5505做dmz outside inside 加路由

配置简单的Ipsec
Ipsec可以分为4个步骤：
（1）定义感兴趣的数据流
（2） IKE阶段1：这个阶段用于协商IKE策略集，验证对等体之间建立安全的通道，就好像一条保护的通道保护后续来的数据安全的到达
（3） IKE阶段2该阶段Ipsec参数被协商，执行以双方约定好的功能（比如我们说好要用什么方式去加密数据，用什么方式确保数据的完整性之类的）
（4）调用以上的所有参数将它打包调用到Ipsec的接口

R1(config)#crypto isakmp policy 10 创建IKE第一阶段策略，编号10
R1(config-isakmp)#authentication pre-share 认证方式用共享密钥，默认数字签名
R1(config-isakmp)#encryption 3des 数据包加密算法用3des
R1(config-isakmp)#hash md5 数据包完整性校验散列算法使用MD5，默认SHA-1
R1(config-isakmp)#group 2 认证钥匙的密码长度是类型2 （有不同的密码长度）
R1(config)#crypto isakmp key cisco address 2.2.2.1设定共享密钥为cisco 校验IP为34.34.34.4
R1(config)#crypto ipsec transform-set ciscoesp-3des esp-md5-hmac
加密数据具体策略名字为vpn 用esp封装，3des加密，md5-hmac做完整性校验
R1(config)#crypto map cisco 10 ipsec-isakmp名字为cisco ID10的MAP这个MAP就好像打包一样将你之前配置的东西打包起来然后调用到公网接口
R1(config-crypto-map)#set peer 10.10.30.2建立VPN，对端公网IP
R1(config-crypto-map)#set transform-setcisco 用cisco这个策略来加密感兴趣流
R1(config-crypto-map)#set pfs group 2 密钥的长度为类型2
R1(config-crypto-map)#match address vpn 匹配感兴趣流
R1(config)#interface serial 0/1/0 将这个map绑定到这个接口上面
R1(config-if)#crypto map cisco 调用这个map
（R3也是同样操作修改对等体的IP地址和ACL的IP地址即可）

这是全局拓扑图：

R2的路由表里是什么都没有的，因为相遇隧道一样穿越了R2

ping一下测试看能不能ping通

大佬能不能帮我看看这个控制列表如何理解？

怎么消失于天际呢，帮搞上

大佬牛逼

顶自顶，哎呀好假没有更新了到时候有空更新吧就在这几天

楼主可以买你这份文件嘛？

大佬能发个实验拓扑吗？可以有偿

不懂的可以来问我私信也行

日	一	二	三	四	五	六

CCNA 防火墙ASA5505的基本配置

扫二维码下载贴吧客户端