GNS3模拟运行ASA配置教程+Qemu模拟器

GNS3 搭建本地ASA 并使用ASDM 管理实验环境：本地ASA 的IP 地址127.0.0.1 （本地ASA 使用）GNS3 0.7.3Fiddler2本地TOP 搭建：1 、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是asa802-k8.bin.unpacked.vmlinuz ，启动文件initrd 使用单模式ASA ，请下载asa802-k8-sing.gz ；使用多模式ASA 请下载asa802-k8-muti.gz 。

两个initrd 文件中所加载的网卡为e100 和e1000 ，所用文件可以到本文附件下载，打开GNS3 ，新建一个工程，命名为ASA 。

之后选择“编辑”--> “首选项”--> “qemu ”对“General Setting ”做如图所示的配置：之后配置ASA 选项卡：2 、拖入ASA ，分别新建ASA1 和ASA2,TOP 如下：启动两个ASA 可以看到两个QEMU 窗口由于是初次运行，点“console”登录后，看到内核初始化：回到命令提示符后，请等大概 1 分钟左右( 为了防止出现其它问题，请按我说的做) ，等待FLASH 文件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^ 。

使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行/mnt/disk0/lina_monitor使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后，执行/mnt/disk0/lina –mPS: 再次运行ASA 的时候，将直接启动到ciscoasa> 的状态下，不用再执行上面的命令了可以看到6 块网卡都被ASA 识别了此时如果执行show flash:, 将会是下面的结果：因为是初次运行，虽然上面的步骤中格式化了FLASH 文件等等，但是在ASA 中还是没有加载FLASH所以执行show flash: 后可用空间为0 。

如何使用vmware和GNS3模拟ASA第一部分：首先手头的文件：1.GNS 32.ASA模拟器3.Vmware4.5.ASDM软件6.7.8.rules 文件接口分布规则：R0 F0/0 172.16.0.100R1 F0/0 172.16.1.100R2 F0/0 172.16.2.100ASA E0/0 172.16.0.200ASA E0/1 172.16.1.200ASA E0/2 172.16.2.200Loopback0 172.16.0.2Loopback1 172.16.1.2Loopback2 172.16.2.2第二部分，具体实施，分成几个步骤来做：第一：在装有windows的主机上建立3个环回口，并且为每个接口配置地址。

第二：运行安装有asa软件的linux系统，此系统安装在vmware上，其实就是启动vmware。

第三：实现asa的E0/0----Loopback 0, E0/1----Loopback 1, E0/2----Loopback 2之间的桥接3.1.首先实现vmware中vmnet和loopback口的桥接Vmnet 0-----Loopback 0，Vmnet 1-----Loopback 1，Vmnet 2-----Loopback 2，3.2 再实现vmware中vmnet和E0/0口的桥接Vmnet 0----E0/0，Vmnet 1----E0/1，Vmnet 2----E0/2第四，实现本地环回口和路由器的桥接，即：Loopback 0-----R0 F0/0,Loopback 1-----R1 F0/0,Loopback 2-----R2 F0/04.1,首先运行GNS 3，取出三个路由分别和本地接口互联实际上C0桥接到R0，C1桥接到R1……，就像下图最后效果就如下所示啦！第五最后，如果使用telnet 登陆到asa服务器和用asdm来管理asa呢？5.1 用telnet 来登陆到asa首先进入vmware 设置串口连接管道，注意 \\.\pipe\ASA注意，设置管道以后不能通过telnet直接登陆到ASA，需要借助一个软件nptp.exe,安装好以后,edit-new添加一个新连接，做好如图设置，端口号4000 保存连接后，状态为ready；然后打开vmware中的ASA系统，会显示如下状态，放置不用管他【内核已运行】！使用telnet 登录127.0.0.1 port 4000 即可！6、如何实现asdm来界面管理ASA呢？Asa需要一个bin文件的支持才可以页面式管理！首先为asa打开http服务：ciscoasa(config)# int e0/1 【dmz接口】ciscoasa(config-if)# http server enableciscoasa(config)# http 0 0 insideciscoasa(config)# username fanghao password fanghao privilege 15接下来利用tftp服务器拷贝一个bin文件补丁到ASA的ios中来支持页面管理。

此次GNS3的版本是1.5.4 ASA版本是842，在安装gns3之前要把qemu插件给勾选了需要下图中的两个文件链接：/s/1skIW9rv 密码：6ltw这两个文件的链接下好以后解压出来上图所示：由于我之前已经配置好了ASA所以上图右边的空白处是有东西的，最初第一次配置是没用任何东西的这个无需关心它，点下面的New。

上图所示：点Browse上图所示：选择您的asa842-initrd那个文件（文件网上有链接或者我发个链接）上图所示：建立好以后会在这里出现刚才所创建的模板上图所示：点击Edit按钮上图所示：InitialRAMdisk(initrd):此行导入你asa842-initrd文件所在的位置Kernalimage:此行导入你asa842-vmlinuz文件所在的位置把下面两行输入到上图中对应的框框中注意不要把尾部的空格输进去(讲真我真不知道尾部多空格会不会有影响)Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536Options：-no-kvm -icount 2 -serial mon:stdio -nodefconfig -nodefaults -rtc base=utc -smbios type=1,product=asa5520然后点ok接下来就可以把ASA给托出来了，点击启动ASA那么会多出框框来(可能是后台的虚拟机如下图所示这个不要去理会它最小化就可以了)那么然后右击ASA模拟器在弹出的菜单中点console来启动，因为现在还没用激活所以还需要激活才行ASA 启动后，执行wr era，之后ASA会重启，大约5分钟后，再执行下面的命令。

然后再执行reload命令，重启后，就激活了。

GNS3 模拟AAA认证实验AAA介绍AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记帐。

1.认证：验证用户是否可以获得访问权限——“你是谁？”2.授权：授权用户可以使用哪些资源——“你能干什么？”3.记帐：记录用户使用网络资源的情况——“你干了些什么？”准备工作1.VMware虚拟机安装windows server 2003 操作系统2.在window server 2003安装java平台(jre-6u4-windows-i586-p.exe)，为了可以正常运行ACSv4.13.在windows server 2003 安装ACS v4.1如下拓扑图：一.Windows server 2003 配置1.选择网卡如下图所示2.修改windows server 2003 IP地址二．ACS4.1 配置1.认证配置(1).Net work Configuration 添加AAA Clients→Add Entry→Submit+ ApplyIP为对端路由器的接口地址，Shard Secret为共享Key，这里的Key为cisco(2)在User Setup 添加User(Add/Edit Submit)用户名为login用户名，密码为login密码(这里用户名为lwh,，密码为lwhlwh) 三．路由器配置如下图：1.定义tacacs+ 服务器地址以及共享KeyR1(config)#Tacacs-server host 220.13.1.1R1(config)#Tacacs-server directed-requestR1(config)#Tacacs-server key cisco2.定义AAA认证R1(config)#enable secret person //本地enable 密码R1(config)#username ppp password ppp //本地login 用户名和login 密码R1(config)#aaa new-modelR1(config)#aaa authentication login default group tacacs+ local //登陆验证先采用tacacs+服务器验证，如果服务器认证失败，再采用本地验证R1(config)#aaa authentication enable default group tacacs+ enable //enable验证先采用tacacs+服务器验证，如果无法进入特权模式，再使用本地enable密码进入特权模式定义虚拟线路line vtyR1(config)#line vty 0 4R1(config-line)#login authentication default3.验证login用户名和login密码是否有效。

Win7下GNS3-0.8.3-all-in-one初次配置教
程
首次安装GNS3-0.8.3-all-in-one软件，安装过程中会提示安装附加软件，这两个软件必须安装。

如下图所示：
安装完GNS3-0.8.3-all-in-one软件后，就初次配置相关参数,如下图所示：
打开首选项，先把语言改为中文，然后Apply，再OK。

关掉GNS3，再重新打开GNS3，此时以变为中文。

使用GNS3软件，总的来说需要新建三个文件夹：
Experiment-------用来存放实验时产生的文件
IOS-Images-------用来存放IOS
temp---------用来存放所有的temp
打开首选项的一般—常规设置，按照下图所示
工程目录存放在Experiment文件夹里，
OS镜像存放在IOS-Images文件夹里，然后就OK。

打开Dynamips,把工作路径存放到temp文件夹里，OK！
夹里面，OK！！
打开Qemu,也把那个工作路径放到temp那个文件夹里。

OK！
然后就OK啦！回到主界面。

接着就配置那些IOS镜像，使GNS3的那些交换机能够模拟就好了。

打开GNS3的编辑—IOS和Hypervisors选项，如图所示，再配置IOS
镜像文件的位置在那个IOS-Images里，选中后保存，如下图所示：
刚打开GNS3时会出先如下：
一般写上工程名，如GNS3shiyan,工程目录会自动生成。

下面那两个保存的都要打上勾，等一下所有与这个实验有关的内同都会生成，且都会保存在Experiment文件夹里的GNS3shiyan文件夹里，且会生成如下文件：
这样就可以用了。

当前使用的GNS3版本是1.3.11，配合IOU 1.3.11完成使用。

准备工具：GNS3 1.3.11和配套IOU文件；VM（虚拟机）安装步骤：1、安装GNS3，需要选择安装的选项：组件说明：①WinPCAP：抓包必须额度组件之一，建议安装，安装过的可忽略；②Wireshare：比较流行的抓包软件，可选，但是一般建议安装，安装过可忽略；③SolarWinds ··：可选安装，一个Wireshark的辅助分析工具；④Dynamips:一个用于模拟cisco路由器的工具，必须安装；⑤QEMU：模拟处理器的一个软件，安装可模拟ASA，PIX等设备；⑥VPCS：GNS3中模拟客户端的的工具，需安装；⑦GNS3：必须安装的核心组件；⑧Super Putty：GNS3自带的终端工具，可选。

接下来是修改安装路径，然后就可以马不停蹄的安装完毕，安装完成后，进行基本参数的配置。

安装IOU：打开VM，选择GNS3 对应版本的IOU开启VM后，输入用户名root,密码为cisco，进入查看IP地址，这是IOU 的IP，后续用来上传IOS（注意：按红框内标注的提示的格式打开链接）浏览器中输入http://x.x.x.x:8000/upload出现下图的情况，就可以选择IOS 上传了：之后可以在GNS3中与IOU实现”融合“，在GNS3中使用IOU设备，这样就不会那么消耗CPU了。

2、配置GNS3的基本参数：打开GNS3看到的界面有除了有之前老版本的Node Types、Topology、Conssole之外，还有一个Jungle newsfeed，这个让人很不爽：可以通过以下操作去掉：找到GNS3安装路径：找到static这个文件夹，里面有一个Jungle的网页文件，删除就好。

删除之后开启的GNS3如下图：3、GNS3中的设置：如图这样就完成了，现在可以尽情的使用：谢谢~~。

二、GNS3 软件介绍
GNS3 是一款具有图形化界面可以运行在多平台（包括 Windows, Linux, and MacOS 等） 的网络虚拟软件。Cisco 网络设备管理员或是想要通过 CCNA,CCNP,CCIE 等 Cisco 认证考 试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验 Cisco 网 际操作系统 IOS 或者是检验将要在真实的路由器上部署实施的相关配置。 简单说来它是 dynamips 的一个图形前端，相比直接使用 dynamips 这样的虚拟软件要更 容易上手和更具有可操作性。 GNS3 整合了如下的软件：
3.4.3 点击下一步，配置 VM 虚拟机。这里唯一需要注意的是，如果你的 VM 里面有多台虚拟机，一定要 选择刚刚导入的 GNS3 VM 虚拟机，核心数和内存大小可以在这里修改，也可以保持默认：
3.4.4 此时，VM 虚拟机会自动启动（笔者这里已经开启了），可以看到虚拟机启动后显示的版本号，IP
3.3 配置 GNS3 添加 VM 支持
3.4.1 我们运行 GNS3，并对其进行初始配置，添加对 VM 虚拟机的引用。 启动 GNS3。启动后，会显示如下初始化界面，我们选择第一项，为避免以后每次启动都弹出这个界面， 勾选“Don’t show this again”:
3.4.2 点击下一步，配置本地服务器，Host binding 项用于设置绑定的 IP，这里会列出现在本机所有的 IP 地址，为了避免在改变 IP 后出问题，建议选择本地环回地址 127.0.0.1：
三、软件安装 3.1 安装 GNS3-2.2.7-all-in-one.exe
双击 GNS3-2.2.7-all-in-one.exe（需要连网，安装需要依赖的组件，当然知道怎么安装组 件的也可以不用连网）安装包含 Wireshark

图２　设置流程
３　开始实验
将一个ASA拖到工作区不要立刻启用。

在通电之前，右键单击该设备，出现浮动菜单。

选择“配置”菜单，在打开的“节点配置”窗口中点击“ASA1”选项。

在“网卡模块”的下拉列表中把“e1000”改为“pcnet”。

点击【OK】按钮，保存设置。

如图2所示。

在设备初次通电运行，就直接右键点击“console”，会发现在CLI
然最后也能到达命令提示符，但是在实验过程中对端口进行“no shutdown”却不能成功。

４　结　语
GNS3是可以运行在多平台上的图形界面网络虚拟软件，可以通过它完成CCNA、CCNP、CCIE
实验模拟操作[3]。

只要通过以上方法配置好
比其他软件更好地模拟出ASA防火墙。

学生就能完成更多的防火墙实验，就能更深刻理解防火墙知识，就能更好掌握
图１　设置ＡＳＡ参数的流程。

Graphical Network Simulator简介GNS3是一个可以模拟复杂网络的图形化网络模拟器，它可以运行在Windows、Linux、MAC OS上，允许你在虚拟环境中运行Cisco IOS。

GNS3是dynagen的图形化前端，用于搭建网络TOP,并生成dynagen所可以加载的net文件，用来加载Cisco IOS 的核心程序是dynamips.GNS3 0.7.2可以模拟Cisco Router、Cisco ASA、Cisco PIX、Cisco IDS/IPS、Juniper Router以及通过路由器加载交换模块实现部分交换功能；通过其所带的qemu还可以运行虚拟主机；程序还可通过Wireshark来抓取虚拟网络TOP中的数据包。

GNS3的安装目录、以及首选项中的各个选项卡，在需要配置目录或者选择文件时，路径中都不要带有中文。

以下为一些有用的网站： GNS3’s primary Web site GNS3’s Wiki sitehttp://www.ipflow.utc.fr/blog/Dynamips blog/Dynagenhttp://www.ipflow.utc.fr/bts/Dynamips/Dynagen bug tracking http://7200emu.hacki.at Hacki’s forum/bbs/Netemu虚拟化先锋无忧网客联盟GNS3 Quick Start Guide for Windows Users1、下载GNS3 0.7.2/project/gns-3/GNS3/0.7.2/GNS3-0.7.2-win32-all-in-one.exe 2、安装GNS3 0.7.2，一路next就行(win7用户需要关闭系统防火墙)：3、GNS3可以模拟的思科路由器型号如下：的一些参数。

GNS3界面如下:快捷命令按钮介绍：选择“编辑”-->“IOS和hypervisors”来配置IOS以及Hypervisors在“IOS”选项卡进行IOS的添加4、首选项配置：默认安装后，界面为英文，进入“Perferences”设置，如图：“General”设置有3个选项卡：整体设置、终端软件设置、GNS3的GUI设置：Dynamips：包含了dynamips的一些特性的配置和hypervisors的配置Capture:抓包软件的设置Qemu的配置：这里的配置将结合GNS3模拟ASA,Juniper的时候进行介绍。

GNS 2.0.3 VM 上传IOU及QEMU实录
步骤1：安装GNS3软件。

（安装操作略）
步骤2：导入gns3 vm 2.0.3到vmware 虚拟机（导入操作略）
步骤3：启动gns3 ，设置gns3主服务绑定一个本地虚拟机网卡，因为本地安装虚拟机存在一个VMnet1 虚拟网卡
设置gns3 server地址
步骤4：设置gns3 vm 2.0.3 虚拟机网卡适配器为vm net1 。

主要实现物理机和gns3 vm 之间的通信
步骤5：启动gns3 vm 虚拟机，看gns3 vm虚拟机是否自动获得vmnet 1自动分配的IP，及测试物理机和gns3 vm虚拟机直接的通信状况
测试物理机与gns3 vm之间的通信状态
设置gns3 远程 vm地址
步骤6：启动gns3 ，添加gns3 iou和QEMU设备到gns3 vm
里面去
更改设备标识符，这里我举一个更改标识符例子，更改其他设备标识符也类似
===================================================== =============================
第二阶段，添加IOU
步骤1：添加iourc文件
完成结束
验证设备启动是否正常。

GNS3 1.X 配置指南下载：在GNS3官网（）可下载最新的GNS3，目前版本为1.2.1 安装：整个安装过程和普通软件差不多，主要说下第四步在这里WinPCAP、Dynamips、GNS3、Cpulimit为必选，缺一个GNS3都不能正常运行。

Wireshark是抓包工具，建议安装。

Solar Winds Response是一个配合Wireshark使用的工具，各人认为没多大作用，可以不用安装。

VPCS是GNS3中一个简易的虚拟PC，建议安装。

QEMU是一个虚拟机，在GNS3中被简化了很多，如果不适用单独的ASA和IDS可以不安装这个。

SuperPutty这个是一个虚拟终端，相比较GNS3自带的Putty这个工具稍微有点占用资源，但是标签化的界面，在配置时确实会方便一些，看个人习惯了。

安装大概也就这么点要注意的了，下面进入正题，开始说说1.2.1的设置上的东西。

首先，在GNS3 1.0开始就只能用英文了，所以大家也别去思考修改成中文界面的问题了。

设置：如图，在Edit的Preference，这个就是设置。

在这个界面中，的东西大家都很熟悉了。

项目默认存储路径、系统镜像的路径、缓存文件的路径、风格、软件的配置文件位置。

配置文件的位置我们不好修改，其他的路径都可以更具自己习惯来修改，修改时和老版本的要求一样“不得使用中文路径”，在这个版本中我们说下My binary images这项，这里和1.0之前的版本略有不同，就是，我们所选择使用的IOS文件和QEMU虚拟机文件，分别会被复制到这个路径下面的IOS目录和QEMU目录中。

至于风格，1.2.1一共提供了黑灰色、白色、老版三种风格。

其他的设置都和老板的一样了。

现在我们来看看GNS3 server这项在这项中有两个选项卡，一个是Local server和Remote server。

Local server是我们本地GNS3服务器的位置，Remote server是远程服务器，这个在使用IOU设备时需要设置，这里我们只讲述GNS3部分，IOU的我们后面再讨论。

第3章GNS3用法3.2 GNS3安装登录/download网站，下载最新版的GNS3软件，注意，目前最新版的GNS3软件是version 0.8.2。

安装不住如下。

1、选择GNS3安装程序（如下图），双击图标，启动安装过程。

2、在出现的界面上选择“next”（如下图）。

3、在许可证协议界面选择“I Agree”（如下图）。

4、接下来设置开始菜单文件夹名，默认名字为GNS3，不做修改，并选择“Next”。

5、在出现“组件选择”窗口，选择所有组件，并点击“Next”。

6、接下来选择程序的安装目标，不做修改，选择“Install”，开始安装程序。

7、在安装过程中，如果计算机已经安装了Winpcap程序和WireShark程序，可以选择不安装，也可以选择重新安装。

安装进度如下图。

8、随着安装进度条的进行，程序安装完成，出现如下界面，点击“Finish”完成安装。

启动GNS3，显示界面如下。

下面对GNS3的界面做一个简要介绍。

1、菜单栏菜单栏中有文件(File)、编辑(Edit)、视图(View)、控制（Control）、设备(Device)、标注(Annotate)和帮助(Help)菜单。

如下图。

（1）文件菜单包括新建拓扑(New blank Topology)、打开(Open)、保存(Save)、新建项目(New blank Project)、保存项目(Save Projectt as)等菜单项。

（2）编辑菜单包括撤销(undo)与恢复(redo)、选择所有设备(Select all)等菜单项以及软件环境配置菜单如参数配置(preferences)和IOS配置（IOS Images and Hypervisors）。

（4）视图菜单包括设备图标的放大(zoom in)、缩小(zoom out)菜单项、设备名称隐藏（Hide Hostname）和显示接口标签(Show Interface labels)等开关菜单项工具栏的显示、隐藏开关等菜单项。

最新GNS3-2.2.7模拟器完整安装及使用教程(关联Wireshark、xShell6和GNS3.VM.VMware.Workstation.2.2.7)-收藏一篇就够别在碰壁现阶段学习经常使用的路由交换设备主要来自于思科、华为和华三三家，当然还有中兴、锐捷、神州数码等厂商，这三家的设备操作配置大致类似，却又不尽相同。

因为实体设备通常都非常昂贵，购买设备学习也是不现实的。

所以我们通常会使用各厂商提供的模拟器来学习。

华为的模拟器是eNSP，华三的则是H3C Cloud Lib，思科则是大名鼎鼎的GNS3、Cisco Packet Tracer、WEB-IOU、EVE-NG。

今天笔者拿GNS3-2.2.7 目前最新版本来安装。

一、准备工具①GNS3-2.2.7-all-in-one.exe②GNS3.VM.VMware.Workstation.2.2.7.zip/对应版本的GNS3虚拟机③Cisco IOU-ISO.zip (L2/L3设备镜像)④IOS.rar (含从C1700 到C7200 的各种路由器bin 镜像)⑤Xshell6_wm.exe 或者SecureCRT⑥VMware-workstation-full-15.5.2-15785246.exe下载链接VMware-workstation-full-15.5.2-15785246链接：https:///s/1k3UKDc6NRbl8DtgCNxG4AA提取码：bolqGNS3链接：https:///s/1NDxi-l5i4YtP6nzzmpGebg提取码：te21二、GNS3软件介绍GNS3是一款具有图形化界面可以运行在多平台（包括Windows, Linux, and MacOS等）试的相关人士可以通过它来完成相关的实验模拟操作。

同时它也可以用于虚拟体验Cisco网三、软件安装3.1 安装GNS3-2.2.7-all-in-one.exe双击GNS3-2.2.7-all-in-one.exe（需要连网，安装需要依赖的组件，当然知道怎么安装组件的也可以不用连网）安装包含Wireshark点击I Agree点击Next选择Custom，注意Tools的选择注意：Tools:选择安装的位置安装过程中会弹出依赖的组件，点击Next点击I Agree点击Next点击Finish其他组件安装步骤一样输入邮箱点击Next选择No，下一步。

gns3 asa防火墙怎么样设置gns3 asa 防火墙设置方法一：模拟支持不太完美保存会出错是正常的执行下列 cli报错正常 gns3重启asa 看看配置boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-configwrgns3 asa 防火墙设置方法二：第一步：管理接口配置ip地址，即为其配置命令：1、命令语句：#interface management0/0 //进入管理接口2、命令语句：# nameif guanli //接口名3、命令语句：#ip address 192.168.1.1 255.255.255.0 //ip 地址第二步：安全级别等参数命令语句：# security-level 100 //安全级别通过以上两步参数设置，即可成功添加防火墙设备。

gns3 asa 防火墙设置方法三：web服务器置于防火墙之内：将web服务器放在防火墙内部的好处是它得到了很好的安全保护，不容易被黑客所入侵，但缺点是，不容易被外界所应用。

举个例子，如果web服务器是对外宣传自己的，那么这样配置显然是不合理的，这样客户就不能很好的去访问web服务器，所以具体情况还要具体的分析。

web服务器置于防火墙之外：这个的好处是解决了上述所说的这个问题。

这样配置的好处是内部网被很好的保护，就算是黑客入侵了web服务器，内部网络还是安全的。

缺点就是这种配置对web服务器起不到任何防护作用。

web服务器置于防火墙之上：一些管理者为了提高web服务器的安全性能，将防火墙加在web服务器上，以增强web服务器的安全性能，这样做的缺点就是，一旦web服务器出现问题，整个组织网络就暴露在危险之中了。

所有的防火墙配置都要根据实际情况来操作，不能一概而论，也可以综合多种情况出一个合理的规划。

看了“gns3 asa 防火墙怎么样设置”文章的。

[项目分析与学习任务]
在第二至十五章，已经把 XXX 网络系统集成项目作为典型案例介绍、分析完毕。通过本章学习，同 学们的任务是会使用基于真实设备 IOS 网络模拟器 GNS3 和 RS-8421D 网络模拟器来重现该项目的网络拓 扑设计和设备配置部分。
13.1 网络模拟器简介
在网络技术的教学或一般的研究中，很有可能只能提供有限数量的物理（真实）网络设备供学习或 研究者使用，满足不了更高的需求；一些自学者甚至没有网络设备做实验。于是网络模拟器软件应运而 生。 不同的网络模拟器数量很多，功能强大的如上面提到的 NS3，对网络进行全方位的模拟。不在这里 讨论。这里我们针对网络设备的模拟器简单分一下类。
13.1.2 主流网络模拟器简介
运行真实设备 IOS 的模拟器，主要有一下几种。 1. 工大瑞普 工大瑞普模拟器不支持用户自己搭建拓扑，是使用系统已搭建的拓扑，可满足大部分 CCNA，CCNP 和一部分 CCIE 实验的需要。官网下载地址： ftp:/// 2.小凡 DynamipsGUI 小凡模拟器支持自己搭建拓扑，使用方便。现在需要付费注册。 3. 广州锐思 RS-8421D 模拟器 与在通用计算机上运行的网络模拟器不同,该模拟器对网络设备的模拟是嵌入式的,IOS 和图形前端 均写入固件,并同时虚拟网络操作系统服务器和客户机。该模拟器由广州鋭思网络科技股份有限公司创 始人、CCIE 黄世旭和广东轻工职业技术学院计算机工程系教授石硕共同研发。 (1)所虚拟的网络设备及其连接 RS-8421D 虚拟实现的网络设备及其连接如图 13-1 所示。可通过开启或关闭设备接口构造实训所需 的各种网络拓扑。标准版模拟模拟 4 个路由器、4 个交换机、两个防火墙，一个入侵防御系统，一个帧 中继网云和一台网络服务器、两台客户机，共计 14 个设备。所有虚拟设备加载完成时间约 3 分钟。模 拟器通过一个以太网口连接外部网络,与外部网络实现通讯。使用者通过 telnet 登录网络设备，通过远 程桌面连接网络服务器和客户机。 (2)RS-8421 特点 1) 基于固件实现虚拟化化。在操作简单方便性、响应速度、功能各个方面均优于包括 GNS3 在内的 一切网络模拟软件。无论是所虚拟的网络设备还是网络服务器、客户端，均几乎 100%具有物理设备的同 样功能（带宽除外） 。特别是其对防火墙和入侵防御系统的模拟，以及对网络服务器的模拟，均支持远 程重启，为使用者进行更全面的大型网络实验和测试提供了极大的方便。 2)代码全面优化。 由于基于硬件实现， 无需像 GNS3 那样测试 Idle-PC， 标准版模拟模拟 4 个路由器、 4 个交换机、2 个防火墙，1 个入侵防御系统，1 个帧中继网云和 1 台网络服务器、两台客户机，共计 14 个设备，运行仍然十分流畅。 3)虚拟网络和外部物理网络通过一个以太网口相连，进行配置、测试管理十分方便。 4) 可灵 活定 制虚 拟网 络设 备是 Cisco、 H3C 还是 锐捷 网络 ，定 制虚 拟服 务器 是 Windows 还 是 Unix/Linux 网络。 5)构建同样功能的网络实训室，其造价仅为全用物理设备所构建的 15%。具有很高的性价比（IOS， 操作系统等软件由用户自行导入，仅用于个人学习或学校教学，不做商业用途） 。

最近在试着用gns3模拟ASA，总是报错网上找了不少资料，经过总结终于成功了写下来跟大家一同共享哈！！

第一步：安装GNS3 0.7 RC1 这个就不需要我多说了吧（呵呵）我选择安装在“C:\Program Files\GNS3” GNS3的配置如下： General setting：如下

接下来：

要保证测试通过

下面是最主要的配置qemu设置 ： 工作目录： C：\Program Files\GNS3 选择这个目录的目的是等下要在这个目录的ASA1子目录下创建一个FLASH 文件，flash文件下载地址：http://d.namipan.com/d/c01f9e144a9eba9a1a3a97df2e1a3d0b9580973200000001 如果没有这个FLASH文件会报错！！如图： Path to qemu（not for pix） 在“C:\Program Files\GNS3”这个目录下，新建一个qemu目录，然后将qemu-0[1].10.2-windows.rar中的所有文件解压到QEMU下，确保像qemu.exe这样的文件在QEMU这个目录下。此文件在附件中 再者将Qemu-0.11.0-windows-Lite.zip这个文件下的所有文件覆盖刚才解压的qemu-0[1].10.2-windows.rar，下载地址：http://d.namipan.com/d/b939d9ca35bda3d3cc22da98b851c0ede25b742fe7c02100 在如图配置：

上图中Kernel cmd line是 auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32

initrd和kernel位置要注意了： 这两个文件的下载地址如下： vmlinuz：http://d.namipan.com/d/8bf8f6aae50717ad20c67af86898355cf909f85ab0b81000 initrd：http://d.namipan.com/d/13b3d5962c2142df813bc62bb98ffdc580f7092490a2ca00 这样子就成功了如图：

使用QEMU与VMware虚拟机进行ASA防火墙实验环境配置路由器是用来实现数据包的正确转发——路由功能；防火墙是基于网络的安全防御设计的。

通俗来讲，路由器关注如何实现“通”，而防火墙关注如何保证所有正常流量与合法流量“通”的前提，所有非法的不安全的流量“不通”。

很多人说路由器可以通过ACL等配置实现很多防火墙的功能，但是他们忽略了重要的问题，路由器是三层设备，只是基于ACL的简单包过滤，防火墙则是四层设备（很多防火墙都具有应用层的功能，实现基于内容的过滤）。

在源和目的端互相访问的过程中，路由器只是一个“过客”；而防火墙无论与源或目的都建立了端到端的通信，也就是说，外网的主机如果希望访问内网的资源，必须先与防火墙建立连接，在此过程中防火墙可以对连接建立实施监测，充分保障内网的安全，而路由器很难做到这一点。

2005年以后CISCO公司更是将旗下著名的防火墙PIX系列升级到ASA，同样在企业应用中具有安全防护的中坚作用。

CiscoASA防火墙优势：对于VPN的全面兼容Anti-X服务入侵防御专业的监控管理但这些硬件设备价格都不低，如果有与cisco的路由器模拟器dynamips类似的产品该多好，许多大牛早都为我们考虑好了。

现在ASA防火墙我们可以通过qemu来模拟，只是在通过ASDM管理起来更加麻烦，但有时ASDM管理起来又比命令行方便很多。

我已经将必要的软件打包，放到下列位置：/d/3395dd7d03c7d126846ad872fb71afac5458a0e400f81b06下面我们了解如何进行对防火墙做初始配置，通过各种管理方式来管理该设备。

步骤一：解压缩ISO镜像，进入tools文件夹目录安装winpcap_4_0.exe.步骤二：将asa的网络接口与真机的网卡进行桥接。

进入获信取网卡参数文件夹目录，运行xp_获取gen-eth.bat获取网卡参数信息，如下息：图中红色圈起的是绿线网卡的参数信息，拷贝网卡参数如: \Device\NPF_{7B5FEBF0-5347-4272-A8E9-1A7095D5DC43}，然后进入asa模拟器目录中修改asa_PCAP.bat文件，更改对应的网卡信息：这样防火墙的e0/0接口与ms loopback adapter2网卡桥接，e0/1接口与ms loopback adapter网卡桥接，e0/2接口与计算机的8169网卡桥接。