这篇文章使用带有软件版本9.1(2)的Cisco ASA 5515-X作为配置示例。这是我在配置过程中记录的一些基本步骤。
此博客中的相关文章:
- 思科公司 ASA 5500-X系列软件9.x配置说明(提示和技巧)
- 思科公司 ASA远程访问VPN配置2 – Anyconnect 虚拟专用网 配置
- 思科公司 ASA远程访问VPN配置1 –无客户端SSL 虚拟专用网 配置
- 思科ASAv HA配置
1.检查系统版本和模块:
|
ciscoasa(配置)# sh ver
思科自适应安全设备软件版本9.1(2) 设备管理器版本7.1(3) 建筑商于太平洋时间13年5月9日星期四16:20编译 系统映像文件为“ disk0:/asa912-smp-k8.bin” 启动时的配置文件为“ 启动配置” ciscoasa最多7天18小时 硬件: ASA5515、8192 MB RAM,CPU Clarkdale 3059 MHz,1 CPU(4核) ASA:4096 MB RAM,1个CPU(1个核心) 内部ATA Compact Flash,8192MB BIOS闪存MX25L6445E @ 0xffbb0000,8192KB 加密硬件设备:Cisco ASA-55xx板载加速器(修订版0x1) Boot microcode : CNPx-MC-BOOT-2.00 SSL/IKE microcode :CNPx-MC-SSL-PLUS-T020 IPSec microcode :CNPx-MC-IPSEC-MAIN-0024 加速器数量:1 底板管理控制器(版本0x1)固件版本:2.4 0:内部:内部数据0/0 :地址是7426.acc8.e4df,irq 11 1:分机:GigabitEthernet0 / 0 :地址是7426.acc8.e4e3,irq 10 2: Ext: 千兆以太网0/1 :地址是7426.acc8.e4e0,irq 10 3:分机:GigabitEthernet0 / 2 :地址是7426.acc8.e4e4,irq 5 4:分机:GigabitEthernet0 / 3 :地址是7426.acc8.e4e1,irq 5 5:分机:GigabitEthernet0 / 4 :地址是7426.acc8.e4e5,irq 10 6:分机:GigabitEthernet0 / 5 :地址是7426.acc8.e4e2,irq 10 7:整数:内部数据0/1 :地址是0000.0001.0002,irq 0 8:内部:内部控制0/0:地址为0000.0001.0001,irq 0 9:整数:内部数据0/2 :地址为0000.0001.0003,irq 0 10:分机:管理0/0 :地址是7426.acc8.e4df,irq 0 该平台的许可功能: 最大物理接口 :无限 perpetual 最大VLAN : 100 perpetual 内部主机 : Unlimited perpetual 故障转移 : Active/Active perpetual 加密DES : Enabled perpetual 加密3DES-AES :已启用 perpetual 安全上下文 :2 perpetual GTP / GPRS : Disabled 永动的 AnyConnect高级对等 : 2 perpetual AnyConnect基础 :禁用 永动的 其他VPN对等 : 250 perpetual 虚拟专用网 对等总数 : 250 perpetual 共享许可 : Disabled 永动的 移动版AnyConnect :禁用 永动的 适用于Cisco 虚拟专用网 电话的AnyConnect : Disabled 永动的 先进的端点评估 : Disabled 永动的 UC电话代理会话 :2 perpetual UC代理会话总数 :2 perpetual 僵尸网络流量过滤器 :禁用 永动的 公司间媒体引擎 :禁用 永动的 IPS模块 : Disabled 永动的 簇 :禁用 永动的 该平台具有ASA 5515 安全 Plus许可证。 序列号:FCH100871J 运行永久激活密钥:0xd516745 0x38b8dee 0x2533184 0xc09147c 0x001f093 配置寄存器为0x1 配置最后由enable_15在07:55:47.355 UTC于2014年4月16日星期三修改 ciscoasa(配置)# 显示模块 模 Card Type Model Serial No. —————————————————————————————— 0个带软件的ASA 5515-X,6个GE数据,1个GE管理,AC ASA5515 FCH180871J ips Unknown N/A FCH180871J cxsc未知 N/A FCH180871J 模 MAC Address Range Hw Version Fw Version Sw Version ----------- 0 7426.acc8.e4df至7426.acc8.e4e6 1.0 2.1(9)8 9.1(2) ips 7426.acc8.e4dd到7426.acc8.e4dd N/A N/A cxsc 7426.acc8.e4dd到7426.acc8.e4dd N/A N/A 模 SSM应用程序名称 状态 SSM应用程序版本 ----------- ips Unknown 没有图像不适用 cxsc未知 没有图像不适用 模 Status Data Plane 状态 Compatibility -------- 0 Up Sys Not Applicable ips Unresponsive Not Applicable cxsc无响应 Not Applicable 模 License Name License 状态 Time Remaining -------- ips IPS模块 Disabled perpetual |
2.设置ASDM访问
接口管理0/0
仅管理
名字 management
安全级别100
ip address 10.9.200.31 255.255.255.0
no 关掉
HTTP服务器启用
http 10.9.200.0 255.255.255.128 management
ssh 10.9.200.0 255.255.255.128 management
浏览网页 //10.9.200.31/admin ,然后安装ASDM启动器。
注意:将用户名和密码留空。单击确定。
3.在管理界面上设置SSH访问
|
ciscoasa(配置)# 用户名admin密码admin
ciscoasa(配置)# 加密密钥生成rsa模数2048 INFO:密钥的名称为:<Default-RSA-Key> 密钥对生成过程开始。请耐心等待… ciscoasa(config)#写内存 建筑配置… 加密校验和:67435a18 4790aaff 7584afa7 d28c43c0 2837个字节在0.680秒内被复制 [好] ciscoasa(配置)# aaa身份验证ssh控制台本地 警告:本地数据库为空!使用“用户名”命令定义本地用户。 ciscoasa(config)#用户名测试密码测试 ciscoasa(配置)# ssh 10.9.200.0 255.255.255.0管理 |
4.基本设置和示例
- 名字
- ciscoasa(config)#接口vlan1
ciscoasa(config-if)#nameif inside
信息:“内部”的安全级别默认设置为100。 - 安全级别
- ciscoasa(config-if)#接口vlan3
ciscoasa(config-if)#nameif dmz
ciscoasa(config-if)#安全级别 50 - 接口或VLAN IP地址
- ciscoasa(config-if)# interface VLAN 1
ciscoasa(config-if)#IP地址 192.168.106.1 - ciscoasa(config-if)#接口以太网0/1
ciscoasa(config-if)#交换机端口访问 vlan 1
ciscoasa(config-if)#没有关闭 - 路线
- ciscoasa(config-if)#路由 outside 0 0 1.1.1.1
- 测试Configuration with Packet Tracer Feature
- 模拟一个 TCP协议 协议 数据包进入 内 IP地址接口 192.168.0.125 在源端口上 12345 定位到的IP地址 203.0.113.1 在港口 80
- 在TCP 192.168.0.125 12345 203.0.113.1中输入ciscoasa#packet-tracer 8
- 模拟一个 TCP协议 协议 数据包进入 外 IP地址接口 192.0.2.123 在源端口上 12345 定位到的IP地址 198.51.100.101 在港口 80
- 在TCP 192.0.2.123之外的ciscoasa#数据包跟踪器输入12345 98.51.100.101 80
5. Transparent or 已路由Firewall
更高层自动从透明防火墙允许单播IPv4和IPv6通信
安全接口到较低的安全接口,没有ACL。
安全接口到较低的安全接口,没有ACL。
广播和多播流量可以使用访问规则进行传递。
通过透明防火墙允许以下目标MAC地址。任何
不在此列表中的MAC地址被删除。
•等于FFFF.FFFF.FFFF的TRUE广播目标MAC地址
•从0100.5E00.0000到0100.5EFE.FFFF的IPv4组播MAC地址
•IPv6组播MAC地址从3333.0000.0000到3333.FFFF.FFFF
•BPDU组播地址等于0100.0CCC.CCCD
•AppleTalk组播MAC地址从0900.0700.0000到0900.07FF.FFFF
透明模式ASA不传递CDP数据包数据包,也不传递不具有大于或等于0x600的有效EtherType的任何数据包。支持的BPDU和IS-IS例外。
为了防止使用生成树协议的环路,默认情况下会传递BPDU。要阻止BPDU,您需要配置一个EtherType ACL来拒绝它们。如果使用故障转移,则可能需要阻止BPDU,以防止拓扑结构更改时交换机端口进入阻止状态。
当ASA在透明模式下运行时,数据包的传出接口是通过执行MAC地址查找而不是路由查找来确定的。但是,对于以下流量类型,必须进行路由查找:
•来自ASA的流量
•与启用了NAT的ASA至少相距一跳的流量
启用检查的IP语音(VoIP)和DNS流量,并且端点至少为一跳
离开ASA。
默认情况下,所有ARP数据包都允许通过ASA。您可以通过启用ARP检查来控制ARP数据包的流。
因为ASA是防火墙,所以如果表中没有数据包的目标MAC地址,则ASA
不会像普通网桥那样在所有接口上泛洪原始数据包。相反,它会生成
直接连接的设备或远程设备的以下数据包:
•直接连接的设备的数据包—
•远程设备的数据包—
透明模式默认设置–默认模式是路由模式。
•默认情况下,所有ARP数据包都允许通过ASA。
•如果启用ARP检查,则默认设置是泛洪不匹配的数据包。
•动态MAC地址表条目的默认超时值为5分钟。
•默认情况下,每个接口都会自动学习输入流量的MAC地址和ASA
将相应的条目添加到MAC地址表。
6.多上下文模式
|
ciscoasa(配置)# 模式倍数
警告:此命令将更改设备的行为 警告:此命令将启动重新启动 继续更改模式? [确认] 转换系统配置? [确认] !! 旧的正在运行的配置文件将被写入闪存 转换配置–大型配置可能需要几分钟 管理上下文配置将写入闪存 新的运行配置文件已写入闪存 安全上下文模式:多个 *** *** -立即关机- *** *** 给所有终端的消息: *** *** change mode ciscoasa /管理员# show 语境 detail 上下文“ admin”已创建 配置URL:disk0:/admin.cfg 接口:GigabitEthernet0 / 0,GigabitEthernet0 / 5,管理0/0 IPS Sensors: 类别:默认,标志:0x00000813,ID:1 ciscoasa / admin#changeto系统 ciscoasa#show 语境 上下文名称 Class Interfaces Mode URL *管理员 default GigabitEthernet0/0, Routed disk0:/admin.cfg GigabitEthernet0/5, Management0/0 Test 默认 GigabitEthernet0/1 已路由 disk0:/sample_context.cfg 活动的安全上下文总数:2 ciscoasa(config-ctx)#显示配置 :已保存 :由enable_15在15:23:23.089 EDT星期五2014年5月16日撰写 ! ASA Version 9.1(2) <system> ! 主机名ciscoasa 启用密码gszFpnIcgTCoPiuN加密 没有mac地址自动 ! 接口GigabitEthernet0 / 0 ! 接口GigabitEthernet0 / 1 shutdown ! 接口GigabitEthernet0 / 2 shutdown ! 接口GigabitEthernet0 / 3 shutdown ! 接口GigabitEthernet0 / 4 shutdown ! 接口GigabitEthernet0 / 5 ! 接口管理0/0 ! 班级默认 limit-resource全部0 极限资源ASDM 5 极限资源SSH 5 限制资源Telnet 5 ! 横幅登录 横幅登录‘ 条幅登录您已登录到安全设备。 标语登录如果您无权访问此 标语登录设备,请立即注销或承担可能的刑事后果。 横幅图案 引导系统disk0:/asa912-smp-k8.bin ftp模式被动 时钟时区EST -5 夏令时定期重播 传呼机线24 没有故障转移 asdm映像磁盘0:/asdm-713.bin 没有启用asdm历史记录 arp超时14400 没有arp许可-未连接 控制台超时0 管理员上下文管理员 语境 admin 分配接口GigabitEthernet0 / 0 分配接口GigabitEthernet0 / 5 分配接口管理0/0 config-url disk0:/admin.cfg ! 语境 Test 描述这是测试客户A的上下文 allocate-interface 千兆以太网0/1interface1 分配接口GigabitEthernet0 / 2 config-urldisk0:/sample_context.cfg ! 用户名测试密码P4ttSyrm33SV8TYp加密 prompt hostname 语境 没有匿名的回电报告 加密校验和:58e3ee4507ba1ced5b2adaa4f1b150f0 ciscoasa / admin(config)# changeto 语境 Test ciscoasa /测试(配置)# 显示配置 :已保存 :由enable_15在15:30:24.969 EDT星期五2014年5月16日撰写 ! ASA Version 9.1(2) <context> ! 主机名测试 启用密码8Ry2YjIyt7RRXU24加密 名字 ! 接口interface1 no 名字 no 安全级别 no ip address ! 接口管理0/0 management-only no 名字 no 安全级别 no ip address ! 传呼机线24 icmp无法到达速率限制1突发大小1 没有启用asdm历史记录 arp超时14400 超时xlate 3:00:00 超时时间0:00:30 超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02 超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 超时sip-provisional-media 0:02:00 uauth 0:05:00绝对 超时tcp-proxy-reassembly 0:01:00 超时浮动conn 0:00:00 用户身份默认域LOCAL 没有snmp服务器位置 没有snmp服务器联系 加密ipsec安全关联管理无限 telnet超时5 ssh超时5 SSH密钥交换组dh-group1-sha1 没有威胁检测统计信息tcp-intercept ! 类图检查_默认 匹配默认检查流量 ! ! 策略映射类型检查dns预设_dns_map parameters 邮件长度最大客户端自动 讯息长度上限512 政策图global_policy 类inspection_default 检查dns预设_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! 服务策略全局_策略全局 加密校验和:37989de030631be2f716051eca2f01c1 : 结束 ciscoasa(config-ctx)# 全部写入内存 建筑配置… 保存上下文: 系统:(已保存000/002上下文) 加密校验和:6469133b e64dd3f3 5a634ba6 42d1495d 在0.690秒内复制了1684字节 保存上下文: admin:(已保存001/002上下文) 加密校验和:714e8aba f5ca6ed0 8508dbaf eba2f3cb 在0.190秒内复制了7649字节 保存上下文: 测试: (002/002 Contexts saved) 加密校验和:6124f114 b4910350 b1137692 0dfc32c1 1671个字节在0.80秒内被复制 [好] |
7.从ASA内部接口向外部ping
注意:11.11.11.11是本地LAN接口,而1.1.1.2是另一个ASA的WAN接口。从本地ASA LAN接口到外部的ping失败,因为ASA默认情况下维护TCP的状态表&仅限UDP连接。并不是说ping操作不成功,仅仅是ASA不允许来自配置了较低安全级别的接口的回显回复。解决方案将在这里 使用ASDM发布信息后,请在全局策略中打开icmp检查.
|
ciscoasa(配置)# 数据包跟踪器输入WAN icmp 11.11.11.11 8 0 1.1.1.2详细信息
阶段1 类型:ROUTE-LOOKUP 子类型:输入 结果:允许 配置: 附加信息: in 1.1.1.0 255.255.255.0 WAN 阶段2 类型:访问列表 子类型: 结果:DROP 配置: 隐含规则 附加信息: 基于正向流的查找产生规则: in id = 0xd98d6050,优先级= 111,域=权限,拒绝= true hits = 4,user_data = 0x0,cs_id = 0x0,flags = 0x4000,protocol = 0 src ip / id = 0.0.0.0,掩码= 0.0.0.0,端口= 0 dst ip / id = 0.0.0.0,mask = 0.0.0.0,port = 0,dscp = 0x0 input_ifc = WAN,output_ifc = WAN 结果: 输入接口:WAN 输入状态:向上 输入线状态:向上 输出接口:WAN 输出状态:上 输出线状态:向上 动作:掉落 丢弃原因:(acl-drop)已配置规则拒绝流 |
对于到ASA本身的icmp通信,命令如下:
|
ciscoasa(配置)# 嘘 icmp
icmp无法到达速率限制1突发大小1 icmp允许任何WAN icmp允许任何局域网 |
注意:如果从内部到外部启用了NAT,则可能需要添加访问列表以允许icmp echo-reply数据包进入外部接口。
8.启用日志记录
|
ciscoasa(配置)# 记录启用
ciscoasa(配置)# 日志记录缓冲7 ciscoasa(配置)# 记录asdm信息 asa842-1(配置)# sh日志 Syslog日志记录:已启用 Facility: 20 时间戳记录:已禁用 备用日志记录:已禁用 调试跟踪日志记录:已禁用 控制台日志记录:已禁用 监视日志记录:已禁用 缓冲区记录:级别调试,记录了6条消息 陷阱记录:已禁用 允许主机记录日志:已禁用 历史记录:已禁用 Device ID: disabled 邮件记录:已禁用 ASDM日志记录:级别信息,记录了23条消息 %ASA-5-111008:用户“ enable_15”执行了“日志记录缓冲7”命令。 %ASA-5-111010:用户“ enable_15”,从IP 0.0.0.0运行“ CLI”,执行了“记录缓冲7” %ASA-7-609001:内置的本地主机LAN:11.11.11.12 %ASA-7-609001:内置的本地主机WAN:22.22.22.23 %ASA-6-302020:为faddr 22.22.22.23/0 gaddr 11.11.11.12/55300建立了出站ICMP连接laddr 11.11.11.12/55300 %ASA-6-302020:为faddr 22.22.22.23/0 gaddr 11.11.11.12/55300的内置入站ICMP连接laddr 11.11.11.12/55300 |
9. NAT
- 动态nat(全球)
-
对象网络 内-subnet
subnet 192.168.0.0 255.255.255.0
纳特( inside,outside) dynamic interface - 静态对象
-
对象网络 webserver-external-ip
主办 198.51.100.101
!
对象网络 webserver
主办 192.168.1.100
纳特( dmz,outside) static webserver-external-ip service tcp www www
以下是来自fir3net.com的 发布
现在有2种类型的NAT。自动和手动NAT。
- 自动NAT –进行NAT时,仅将源用作匹配条件。
- 手动NAT – NAT `时,将源和目标用作匹配条件。
自动NAT
自动NAT仅在执行NAT时才考虑源地址。基于此,自动NAT仅用于静态或动态NAT。
在配置自动NAT时,将在一个对象内进行配置。
在配置自动NAT时,将在一个对象内进行配置。
例
以下是静态NAT的示例。
asa(config)#对象网络obj-server
asa(配置网络对象)#主机 192.168.100.1<– REAL IP
asa(配置网络对象)#nat(内,外) 静态88.88.88.1<– MAPPED IP
asa(配置网络对象)#主机 192.168.100.1<– REAL IP
asa(配置网络对象)#nat(内,外) 静态88.88.88.1<– MAPPED IP
配置完此NAT并查看配置后,我们可以在2个地方看到配置; NAT 和对象。
asa#显示运行对象
对象网络obj-server
host 192.168.100.1
对象网络obj-server
host 192.168.100.1
asa#show run nat
对象网络obj-server
纳特( 内,外) 静态的 88.88.88.1
手动NAT
手动NAT在执行NAT时仅考虑源地址或源地址和目标地址。手动NAT可用于(几乎)所有类型的NAT,例如NAT豁免,策略NAT等。
由于手动NAT还可以在单个语句中对源和目标进行NAT,因此也称为 两次NAT.
与在对象内配置的自动NAT不同,手动NAT是直接从全局配置模式配置的。但是,在“手动NAT”规则中仅使用对象,而不是直接使用IP地址。
与在对象内配置的自动NAT不同,手动NAT是直接从全局配置模式配置的。但是,在“手动NAT”规则中仅使用对象,而不是直接使用IP地址。
例
以下是静态NAT的示例,其中仅将源视为NAT。但是,这通常是通过自动NAT完成的。
对象网络obj-server-private
host 192.168.100.1
对象网络 obj-server-public
host 88.88.88.88
host 192.168.100.1
对象网络 obj-server-public
host 88.88.88.88
纳特( 非军事区 ,外)源静态 obj-server-private obj-server-public
下面显示了我们想要同时考虑源和目标的语法。此方法(两次NAT)也用于NAT免除(点击这里查看文章)
纳特( real_ifc, 映射的 _ifc )源静态 真实SRC 映射的SRC destination static 真实DST 映射DST
NAT 顺序
NAT 是3个部分内的命令。
- 第1节–手动NAT
- 第2节-自动NAT
- 第三节–手动Nat After-Auto
默认情况下,仅使用第1节和第2节。但是,如果您需要在自动NAT之后放置手动NAT规则,则可以在配置手动NAT规则以将其放置在第3节中时指定关键字after-auto。
nat(真实的,映射的)[自动后] [行号]………
要查看优先级顺序,请使用“ show nat”命令。
10.访问规则
在配置了相同安全级别的接口之间启用流量
入站和出站规则
您可以根据流量方向配置访问规则:
•入站-入站访问规则适用于进入接口的流量。全球和管理访问
规则总是入站的。
•出站-出站规则适用于退出接口的流量。
“入站”和“出站”是指接口上的ACL应用程序,用于进入ACL的流量。
接口上的ASA或接口上退出ASA的流量。这些术语不指流量从较低安全性接口到较高安全性接口(通常称为入站)或从较高安全性至较低接口(通常称为出站)的移动。
注意
例如,如果要仅允许内部网络上的某些主机访问外部网络上的Web服务器,则出站ACL很有用。与其创建多个入站ACL来限制访问,
- 访问列表(ACL)
- 来自的流量 降低 安全接口是 被拒绝 when going to a 更高 security interface
- 来自的流量 更高 安全接口是 允许的 when going to a 降低 安全介面
- 范例1:
access-list 外_acl extended permit tcp any object webserver eq www
!
access-group 外_acl in interface 外 - 范例2:
-
对象网络 dns-server
主办 192.168.0.53
!
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object 内-subnet
access-list dmz_acl extended permit ip any any
!
access-group dmz_acl in interface dmz
11.访问规则示例
 |
| ASA示例拓扑 |
|
ciscoasa# 嘘
:已保存 : :序列号:9ALU3EW6LDF : 硬件: ASAv,1024 MB RAM,CPU Xeon 5500系列2294 MHz : ASA 9.5(1)200版 ! 主机名ciscoasa 启用密码PVSASRJovmamnVkD加密 每会话xlate拒绝tcp any4 any4 每会话xlate拒绝tcp any4 any6 每会话xlate拒绝tcp any6 any4 每会话xlate拒绝tcp any6 any6 每会话xlate拒绝udp any4 any4 eq域 每会话xlate拒绝udp any4 any6 eq域 每会话xlate拒绝udp any6 any4 eq域 每会话xlate拒绝udp any6 any6 eq域 名字 ! 接口GigabitEthernet0 / 0 说明内部接口 nameif INTERNAL security-level 100 IP地址10.9.200.12 255.255.255.0 ! 接口GigabitEthernet0 / 1 说明DMZ接口 nameif 非军事区 security-level 100 IP地址172.17.3.12 255.255.255.0 ! 接口GigabitEthernet0 / 2 shutdown no 名字 no 安全级别 no ip address ! ! 接口管理0/0 management-only nameif MGMT security-level 0 IP地址192.168.2.12 255.255.255.0 ! ftp模式被动 相同安全流量的允许接口 对象网络H_172.17.3.62_DMZ host 172.17.3.62 description OpenWRT2 对象网络h_10.9.200.62_Internal host 10.9.200.62 说明内部OpenWRT1 对象组服务DM_INLINE_SERVICE_1 service-object icmp 服务对象tcp目标eq ssh 扩展访问列表DMZ_access_in允许icmp任何 访问列表INTERNAL_access_in扩展许可对象组DM_INLINE_SERVICE_1对象h_10.9.200.62_内部对象H_172.17.3.62_DMZ 传呼机线23 记录启用 记录缓冲调试 记录asdm信息 mtu MGMT 1500 mtu内部1500 mtu 非军事区 1500 没有故障转移 icmp无法到达速率限制1突发大小1 没有启用asdm历史记录 arp超时14400 没有arp许可-未连接 接口INTERNAL中的access-group INTERNAL_access_in 接口DMZ中的访问组DMZ_access_in 超时xlate 3:00:00 超时时间0:00:30 超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02 超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 超时sip-provisional-media 0:02:00 uauth 0:05:00绝对 超时tcp-proxy-reassembly 0:01:00 超时浮动conn 0:00:00 用户身份默认域LOCAL aaa身份验证ssh控制台本地 HTTP服务器启用 http 192.168.2.0 255.255.255.0 MGMT 没有snmp服务器位置 没有snmp服务器联系 加密ipsec安全关联管理无限 crypto ca trustpoint _SmartCallHome_ServerCA no validation-usage crl configure 加密CA Trustpool策略 加密CA证书链_SmartCallHome_ServerCA 证书ca 6ecc7aa5a7032009b8cebcf4e952d491 308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130 ……… 6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28 6c2527b9 deb78458 c61f381e a4c4cb66 quit telnet超时5 ssh stricthostkeycheck ssh 192.168.2.0 255.255.255.0 MGMT ssh 10.9.200.0 255.255.255.0内部 ssh超时5 SSH密钥交换组dh-group1-sha1 控制台超时0 威胁检测基本威胁 威胁检测统计信息访问列表 没有威胁检测统计信息tcp-intercept 动态访问策略记录DfltAccessPolicy 用户名管理员密码eY / fQXw7Ure8Qrz7加密 ! 类图检查_默认 匹配默认检查流量 ! ! 策略映射类型检查dns预设_dns_map parameters 邮件长度最大客户端自动 讯息长度上限512 政策图global_policy 类inspection_default inspect ip-options inspect netbios inspect rtsp inspect sunrpc inspect tftp inspect xdmcp 检查dns预设_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect esmtp inspect sqlnet inspect sip inspect skinny 策略映射类型检查dns migrationd_dns_map_1 parameters 邮件长度最大客户端自动 讯息长度上限512 ! 服务策略全局_策略全局 prompt hostname 语境 没有匿名的回电报告 回电 profile License destination address http //tools.cisco.com/its/service/oddce/services/DDCEService 目的地运输方法http profile 思科公司 TAC-1 no active destination address http //tools.cisco.com/its/service/oddce/services/DDCEService 目的地地址电子邮件 [电子邮件 protected] 目的地运输方法http 订阅警报组诊断 订阅警报组环境 每月定期订阅警报组库存 每月定期订阅警报组配置 每日定期订阅警报组遥测 hpm topN启用 加密校验和:f0b9b7ac46de68d4f289d84909d1d497 : 结束 |
12.备份和还原配置
将配置备份到本地磁盘。
|
ciscoasa# 复制启动配置磁盘0:/ backup-02202016
目标文件名[backup-02202016]? 复制中…C 以0.10秒的时间复制7072个字节 ciscoasa# |
恢复配置
|
ciscoasa(配置)# 清除全部配置
ciscoasa# 复制disk0:/ backup-02202016 启动配置 |
13. ICMP / SSH / ASDM到一个接口后面的另一个接口
我遇到了与帖子相同的问题 “找不到出口接口… ”。
拓扑结构:
症状:
IP计算机1可以访问IP计算机2,但不能访问防火墙ASA的IP 内2,即使它与IP Computer2位于同一网段。
来自帖子的解决方案:
“思科防火墙不允许ICMP从同一设备的一个接口后面到另一个接口。唯一的例外是,当流量通过VPN进入,并且已经从VPN连接后面向要向其发送ICMP的设备输入了特定的配置命令时。
因此,如果 电脑1 needs to ICMP Inside 2 然后具有 Inside 2 接口必须使用以下命令配置
管理访问
“
HTTP服务器启用
http 10.50.2.0 255.255.255.0 Mgmt
http 172.17.0.0 255.255.255.0 MGMT
ssh 10.50.2.0 255.255.255.0 MGMT
ssh 172.17.0.0 255.255.255.0 MGMT
管理访问 MGMT
