Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能
cisco防火墙配置的基本配置 1、nameif 设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。 使用命令: PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。 命令: PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围:定义地址池。 Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。 5、nat 地址转换命令,将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法: conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010
增加一台服务器具体要求。新增一台服务器地址:10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去,并对外开通这台服务器的80端口。 在对外pix525上面增加如下:access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后,不能访问16.52.91.223的网页,但确可以ping通16.52.91.223,但是访问10.165.127.15的主页是正常的?? 具体配置如下: pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www
ASA防火墙配置命令(v1.0) 版本说明
目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置(ssl vpn) (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)
1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注:最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中
ASA5510防火墙配置手册 1. 设置主机名: #hostname szhndasa 2. 设置时区: szhndasa#clocktimezone EST 7 3. 设置时钟: Szhndasa#clock set 15:45:30 28 FEB 2008 4. 配置内接口 IP Szhndasa#int Ethernet 0/0 Szhndasa#nameif inside Szhndasa#security-level 100 Szhndasa#ip address 192.168.55.254 255.255.255.0 5 配置外部接口 IP Szhndasa#int Ethernet 0/1 Szhndasa#nameif outside Szhndasa#security-level 0 Szhndasa#ip address 210.X.X.X 255.255.255.248 6.配置用户名和密码 Szhndasa#username admin password ********* encrypted privilege 15 注:15 表示有最高权限 7.配置 HTTP 和 TELNET Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside 8.配置 site to site vpn crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 210.75.1.X
要想配置思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmark global_mask]:表示全局ip地址的网络掩码。 nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名称,一般为inside. nat_id:表示地址池,由global命令定义。 local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]:表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法: route (if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名称。 0 0 :表示所有主机 Gateway_ip:表示网关路由器的ip地址或下一跳。 [metric]:路由花费。缺省值是1。 static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中: internal_if_name表示内部网络接口,安全级别较高,如inside。 external_if_name表示外部网络接口,安全级别较低,如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外,外边的顺序是先外后内) 例如: asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址 ************************************************************************** asa#conf t asa(config)# hostname asa //设置主机名
Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm
拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由
Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 (1)telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 (2)ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 (3)asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 (1)创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 (2)因为防火墙默认把禁止外网访问DMZ区,所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside
clear access-list counters 清除访问列表规则的统计信息。 clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】 例1:清除当前所使用的序号为100的规则的统计信息。 Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。 Quidway#clear access-list counters 【相关命令】 access-list 三、firewall 启用或禁止防火墙。 firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。 disable 表示禁止防火墙。
【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 【相关命令】 access-list,ip access-group firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。 firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。 deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】
1. 初始配置 ciscoasa> enable 从进入用户模式进入特权模式 ciscoasa# configure terminal 从特权模式进入全局配置模式 ciscoasa(config)# hostname AYKJ-FW 更改防火墙名称 AYKJ-FW(config)# passwd aykj 配置远程登录密码 AYKJ-FW(config)# enable password aykj 配置enable密码 2. 端口配置 AYKJ-FW(config)# interface Vlan2 创建SVI口,ASA5505必须通过SVI口配置地址AYKJ-FW(config)# nameif outside 定义为outside口,即连接外网接口 AYKJ-FW(config)# security-level 0 定义安全级别,范围0~100,其中inside、outside 口安全级别为系统自动定义和生成 AYKJ-FW(config)# ip address 221.226.186.58 255.255.255.252 配置运营商分配公网地址AYKJ-FW(config)# interface Vlan3 AYKJ-FW(config)# nameif inside 定义为inside口,即连接内网接口 AYKJ-FW(config)# security-level 100 inside口默认安全级别100 AYKJ-FW(config)# ip address 10.0.0.1 255.255.255.0 配置内网口地址 3. 管理配置 AYKJ-FW(config)# telnet 0.0.0.0 0.0.0.0 inside 允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)# ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)# ssh version 1 使用ssh版本1 AYKJ-FW(config)# http server enable 开启web页面,即开启asdm,与传统的如ASA5520等有专门管理口的防火墙不同,ASA5505只要启用服务,并应用到端口,那么只要网络通畅就可以通过asdm管理,更加灵活 AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 inside AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 outside 这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙 4. 路由配置 AYKJ-FW(config)# route outside 0.0.0.0 0.0.0.0 221.226.186.57 配置上网默认路由,下一条为运营商分配的网关 AYKJ-FW(config)# route inside [内网网段] [掩码] [防火墙内网口] 配置内网路由,由于本次内网与防火墙在一个地址段,所以不需要 5. NAT配置
一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “>”用户模式 firewall>enable由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、基本配置介绍 ○1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall 设备名称 firewall(config)#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置 firewall(config)#ip address inside 172.16.1.1 255.255.255.0 firewall(config)# interface ethernet0 100full 激活外端口 firewall(config)# interface gb-ethernet0 1000auto 激活内端口 ○2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙 配置从外网远程登陆到防火墙 Firewall(config)#domain-name https://www.doczj.com/doc/5213317722.html, firewall(config)# ca generate rsa key 800 firewall(config)#ca save all firewall(config)#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如: firewall(config)#ssh 218.240.6.81 255.255.255.255 outside firewall(config)#enable password cisco 由用户模式进入特权模式的口令 firewall(config)#passrd cisco ssh远程登陆时用的口令 firewall(config)#username Cisco password Cisco Web登陆时用到的用户名 firewall(config)#http enable 打开http允许内网10网断通过http访问防火墙firewall(config)#http 192.168.10.0 255.255.255.0 inside firewall(config)#pdm enable firewall(config)#pdm location 192.168.10.0 255.255.255.0 inside web登陆方式:https://172.16.1.1 ○3、保证防火墙能上网还要有以下的配置 firewall(config)#nat (inside)1 0 0 对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发
ASA的NAT配置 命令解释 版本前默认为nat-control,并且不可以更改 版本后默认为no nat-control。可以类似路由器一样,直接走路由;如果启用nat-control,那就与版本前同。 2.配置动态nat 把内部网段:/24 转换成为一个外部的地址池 - NAT配置命令 ASA(config)# nat (inside) 1 (定义源网段) ASA(config)# global (outside) 1 - (定义地址池) 注意:id必须匹配,并且大于1,这里先使用1 检测命令: ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# nat (inside) 2 (定义源网段) ASA(config)# global (outside) 2 (定义地址) ASA(config)# global (outside) 2 interface(或者直接转换为外网接口地址) 注意:id必须匹配,并且大于2,这里先使用2 4.配置static NAT 把内部网段:/24 转换成为一个外部的一个地址: NAT配置命令 ASA(config)# static (inside,outside) 命令格式是内外对应的,红色的接口和红色的地址对应。 实际工作中的应用: static主要是为内部服务器提供服务,如:web、ftp、telnet、mail等等。 access-list WEB permint tcp any host eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 80 80 ASA(config)# static (inside,outside) tcp interface 80 80 5.防止DOS攻击 防止外部对/24 的攻击 ASA(config)# static (inside,outside) tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100,半开连接最大的数量为1000。 udp 1000:表示正常udp连接最大的数量为1000,具体值设置为多少需要按工作中而定。 配置
常用命令有:nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmark global_mask]:表示全局ip地址的网络掩码。 nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名称,一般为inside. nat_id:表示地址池,由global命令定义。 local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]:表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法: route (if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名称。 0 0 :表示所有主机 Gateway_ip:表示网关路由器的ip地址或下一跳。 [metric]:路由花费。缺省值是1。 static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中: internal_if_name表示内部网络接口,安全级别较高,如inside。 external_if_name表示外部网络接口,安全级别较低,如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外,外边的顺序是先外后内) 例如: asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址******************************************************************** ******
ciscoasa> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC show Show running system information traceroute Trace route to destination ciscoasa(config)# ?
aaa Enable, disable, or view user authentication, authorization and accounting aaa-server Configure a AAA server group or a AAA server access-group Bind an access-list to an interface to filter traffic access-list Configure an access control element alias Administer overlapping addresses with dual NAT arp Change or view ARP table, set ARP timeout value, view statistics asdm Configure Device Manager auth-prompt Customize authentication challenge, reject or acceptance prompt auto-update Configure Auto Update