网络

教育改变生活

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 2082|回复: 0
打印 上一主题 下一主题

[其他] cisco asa 5505 配置说明

[复制链接]

535

主题

562

帖子

4万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
41581

最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

跳转到指定楼层
楼主
发表于 2022-6-13 19:33:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
ASA5505工作模式介绍:

注意:asa5505 在配置上分为 pre-8.3 和 post-8.3 两种版本类型,原因是从 8.3 版 开始,cisco 对 asa设备进行了大改,导致配置方式发生很大改变,分析学习官网和其他配置文章时,要注意区分 8.3 版前后 配置方式的不同之处,此处仅以 8.2(5) 版本为例进行配置

asa5505支持两种模式,分别为 Routed mode 和 Transparent mode, 其中 routed mode 为默认模式,也是公司通常使用的模式,Transparent mode (透明模式) 意味着它被视为L2设备,进而意味着它的主要优点是可以将其直接插入网络,而无需在其他的设备上进行任何相关 ip 地址的变更。

下面对 Routed mode (默认模式) 进行说明:

接口 ——对内(VLAN 1) 对外 (VLAN 2)
默认启用和分配的 Switch 接口 —— Ethernet 0/1 到 0/7 分配给内部使用, Ethernet 0/0 分配给外部。
IP 地址—— 外部地址来自于上游的DHCP,内部地址手动设置为192.168.1.1/24
NAT(网络地址转换)—— 所有内部 ip 地址访问外部时使用接口 PAT 进行转换
流量 —— 从内部到外部允许 IPv4 和 IPv6(此行为在ASA设备上为隐含),禁止外部用户访问内部。
DHCP 服务器 —— 专门为内部主机启用,因此连接到内部接口的地址在192.168.1.5 到 192.168.1.254 之间。从外部接口上的 DHCP 客户端获得的 DNS, WINS 和 domain (域) 信息将传递到内部接口上的 DHCP 客户端。
默认路由 —— 源自 DHCP
ASDM 访问 —— 允许内部主机
在 Routed firewall mode 模式下,全部 VLAN 接口共享同一个 MAC 地址,需要确保的是所连接的交换机都支持该模式,如果交换机需要独立 MAC 地址,则可以手工分配 MAC 地址。

在 Transparent firewall mode 模式下,每条 VLAN 都有自己的 MAC 地址,如有需要,可以通过手工分配 MAC 地址来覆盖之前系统自动分配的 MAC 地址。

ASA5505 查询命令:

查看版本:

ciscoasa> show version
Cisco Adaptive Security Appliance Software Version 8.2(5)
Device Manager Version 6.4(5)

Compiled on Fri 20-May-11 16:00 by builders
System image file is “disk0:/asa825-k8.bin”
Config file at boot was “startup-config”

ciscoasa up 8 mins 16 secs

Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz


查看POE接口:

ciscoasa> show power inline
Interface Power Device
Et0/0 n/a n/a
Et0/1 n/a n/a
Et0/2 n/a n/a
Et0/3 n/a n/a
Et0/4 n/a n/a
Et0/5 n/a n/a
Et0/6 off n/a
Et0/7 off n/a

查看VLAN
ciscoasa>show switch vlan
VLAN Name Status Ports

1 inside down Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside down Et0/0

查看 VLAN 详细信息
ciscoasa>show interface vlan xxx

查看dhcp信息
ciscoasa>show run dhcpd

清除dhcp信息
ciscoasa>clear configure dhcpd

进入特权模式
cisocasa>enable

进入全局配置模式
ciscoasa#configure terminal
或者简写 conf t 效果一样

查看正在运行中的配置信息
ciscoasa>show running-config

密码&配置 重置

1、重新连接电源

2、在启动的过程中可看到提示,按ESC键进入ROM Monitor模式,此时出现提示符rommon #0>

3、改变寄存器的值为0x41 rommon #0>confreg 0x41

4、输入reboot重启 rommon #1>reboot

5、重启过程会跳过输入密码的部分,此时看到提示符 ciscoasa>

6、这时可修改密码

ciscoasa>enable

Password:(密码为空)

ciscoasa#configure terminal

ciscoasa(config)#enable password XXX

7、将寄存器改回原值

ciscoasa(config)#config-register 0x01

8、保存当前配置

ciscoasa(config)#exit

ciscoasa#copy running-config startup-config

按回车确认

9、重新载入

ciscoasa#reload

PS:如要重置设置,可以在8之前

ciscoasa(config)#configure factory-default

下面开始配置家庭实验环境,由 VLAN 100(outside),VLAN 200(inside),VLAN 300(dmz),共三部分构成,其中VLAN 100 使用默认0/0网口,VLAN 200 使用 0/4-0/7网口,VLAN 300 使用 0/1-0/3网口,VLAN 200 和 300 均可访问外网,VLAN 300(dmz) 不可访问 VLAN 200(inside),但 inside 可访问 dmz

vlan和网口配置如下
配置outside
hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 192.168.1.1 255.255.255.0
// 或者 ip address dhcp setroute
hostname(config-if)# no shutdown
配置inside
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
配置dmz
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200(不能访问 vlan 200 ) // 如不设置这一条,则默认证书下不能使用第三条Vlan, 设置此条规则后方可使用
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown

将 ethernet 0/0 分配给 vlan 100 (outside)
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shut
同理
将 ethernet 0/1 - 0/3 分配给 vlan 300 (dmz)
将 ethernet 0/4 - 0/7 分配给 vlan 200 (inside)
完成后 show switch vlan 查看下分配结果

interface vlan 200
dhcpd address 10.1.2.10-10.1.2.30 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd enable inside

interface vlan 300
dhcpd address 10.1.1.10-10.1.1.20 dmz
dhcpd dns 8.8.8.8 interface dmz
dhcp enable dmz
配置完以上两步则 inside 和 dmz 内的主机可以 ping 通

PS: 如想清除 vlan下的 ip 地址:
hostname(config)# interface vlan 100
hostname(config-if)# no ip address

如想清除dhcp信息:
hostname(config)# **no dhcpd address **

如想清除 vlan:
hostname(config)# no interface vlan 100

NAT 配置如下
global (outside) 10 192.168.1.1
nat (inside) 10 10.1.2.0 255.255.255.0
nat (dmz) 10 10.1.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.1.254
完成以上步骤后,inside 和 dmz 内的主机便可访问互联网

192.168.1.1 是 asa5505 在家用路由器上的 ip 地址
192.168.1.254 是 家用路由器管理地址
————————————————
版权声明:本文为CSDN博主「weixin_39658178」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_39658178/article/details/106467826

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

WEB前端

QQ|手机版|小黑屋|金桨网|助学堂  咨询请联系站长。

GMT+8, 2024-12-23 07:48 , Processed in 0.034473 second(s), 22 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表