主页 / server / 问题 / 51126
Accepted
Dayton Brown
Asked: 2009-08-07 11:00:56 +0800 CST

Cisco ASA CLI/ASDM for Dummies

  • 772

当谈到思科的东西时,我有点白痴。我通常可以弄清楚大多数防火墙并了解网络掩码、IP 寻址、DMZ、NAT 等。但由于某种原因,我只是没有得到 Cisco ASA。CLI 和 ASDM。

长话短说,我正在寻找一个好的网站或可以为我提供带有评论的基本配置文件以便我理解它的人。

是的,我尝试过 RTFM。

非常感谢大家。

cisco cisco-asa

5 个回答

  1. Best Answer

    我理解你的痛苦,研究和实践将成为你最好的朋友。以下是我处理 Cisco 设备的一些书签:

    祝你好运!

    • 5

  2. 我是前面提到的文章“配置 Cisco ASA 的 8 条基本命令”的作者。当思科在 2010 年春季更改 PAT/NAT 配置时,其中一些命令已过时。我已经在http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html上用新的博客文章更新了这篇文章。希望有帮助。

    • 1

  3. 你想做什么?

    我可能可以访问 ASA,但在不知道您要达到的目标的情况下,我无法开始猜测哪些配置可能相关

    • 0

  4. 这里

    本文回到有关 Cisco ASA 防火墙的基础知识。我在这里为您提供 Cisco ASA 5510 安全设备的基本配置教程。该设备是 ASA 系列(ASA 5505、5510、5520 等)中的第二个型号,由于面向中小型企业而颇受欢迎。与最小的 ASA 5505 型号一样,5510 具有两个许可证选项:基本许可证和 Security Plus 许可证。第二个(安全附加)在基本许可证的基础上提供了一些性能和硬件增强,例如 130,000 个最大防火墙连接(而不是 50,000)、100 个最大 VLAN(而不是 50 个)、故障转移冗余等。此外,安全附加许可证使五个防火墙网络端口中的两个作为 10/100/1000 而不是仅 10/100 工作。

    接下来,我们将看到一个简单的 Internet 访问场景,它将帮助我们了解设置 ASA 5510 所需的基本步骤。假设我们100.100.100.1从 ISP 分配了一个静态公共 IP 地址。此外,内部 LAN 网络属于子网192.168.10.0/24.接口Ethernet0/0将连接到外部(朝向 ISP),并将Ethernet0/1连接到内部 LAN 交换机。请参阅下图了解我们的示例场景。

    替代文字 http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg

    防火墙将配置为向内部主机动态提供 IP 地址(使用 DHCP)。所有出站通信(从内部到外部)都将使用外部公共接口上的端口地址转换 (PAT) 进行转换。让我们看一下这个基本场景所需的配置步骤的片段:

    第一步: 配置特权级密码(启用密码)

    默认情况下,没有用于访问 ASA 防火墙的密码,因此在执行任何其他操作之前的第一步是配置特权级密码,这将是允许后续访问设备所必需的。在配置模式下进行配置:

    ASA5510(config)# enable password mysecretpassword

    第 2 步: 配置公共外部接口

    ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut

    步骤 3: 配置可信内部接口

    ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut

    第 4 步: 在外部接口上配置 PAT

    ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0

    第 5 步: 配置通往 ISP 的默认路由(假设默认网关为100.100.100.2

    ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1

    第 6 步: 配置防火墙以使用 DHCP 为主机分配内部 IP 和 DNS 地址

    ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside

    上述基本配置只是使设备运行的开始。您需要实施更多配置功能来提高网络的安全性,例如静态和动态 NAT、控制流量的访问控制列表、DMZ 区域、VPN 等。我只是想为您提供一个起点一个基本配置,您可以从中进一步积累知识。

    • 0

  5. cisco asa可以运行成router和transparent两种模式,GregD教程讲的是asa的router模式。如果您已经有路由器,我建议您以透明的方式使用 cisco asa,作为第 2 层防火墙,它的作用也类似于“隐形防火墙”,并且无需重新寻址 IP。
    在路由模式下,即使您在访问列表中允许,某些类型的流量也无法通过安全设备。或者,在透明模式下,可以允许任何流量通过扩展访问列表(用于 IP 流量)或 EtherType 访问列表(用于非 IP 流量)。

    • 0

相关问题