这篇文章使用带有软件版本9.1(2)的Cisco ASA 5515-X作为配置示例。这是我在配置过程中记录的一些基本步骤。

此博客中的相关文章:

1.检查系统版本和模块:

ciscoasa(配置)# sh ver

思科自适应安全设备软件版本9.1(2) 
设备管理器版本7.1(3)

建筑商于太平洋时间13年5月9日星期四16:20编译
系统映像文件为“ disk0:/asa912-smp-k8.bin”
启动时的配置文件为“ 启动配置”

ciscoasa最多7天18小时

硬件: ASA5515、8192 MB RAM,CPU Clarkdale 3059 MHz,1 CPU(4核)
           ASA:4096 MB RAM,1个CPU(1个核心)
内部ATA Compact Flash,8192MB
BIOS闪存MX25L6445E @ 0xffbb0000,8192KB

加密硬件设备:Cisco ASA-55xx板载加速器(修订版0x1)
                             Boot microcode        : CNPx-MC-BOOT-2.00
                             SSL/IKE microcode    :CNPx-MC-SSL-PLUS-T020
                             IPSec microcode      :CNPx-MC-IPSEC-MAIN-0024
                             加速器数量:1
底板管理控制器(版本0x1)固件版本:2.4


 0:内部:内部数据0/0   :地址是7426.acc8.e4df,irq 11
 1:分机:GigabitEthernet0 / 0 :地址是7426.acc8.e4e3,irq 10
 2: Ext: 千兆以太网0/1 :地址是7426.acc8.e4e0,irq 10
 3:分机:GigabitEthernet0 / 2 :地址是7426.acc8.e4e4,irq 5
 4:分机:GigabitEthernet0 / 3 :地址是7426.acc8.e4e1,irq 5
 5:分机:GigabitEthernet0 / 4 :地址是7426.acc8.e4e5,irq 10
 6:分机:GigabitEthernet0 / 5 :地址是7426.acc8.e4e2,irq 10
 7:整数:内部数据0/1   :地址是0000.0001.0002,irq 0
 8:内部:内部控制0/0:地址为0000.0001.0001,irq 0
 9:整数:内部数据0/2   :地址为0000.0001.0003,irq 0
10:分机:管理0/0     :地址是7426.acc8.e4df,irq 0

该平台的许可功能:
最大物理接口      :无限     perpetual
最大VLAN                    : 100            perpetual
内部主机                     : Unlimited      perpetual
故障转移                         : Active/Active  perpetual
加密DES                   : Enabled        perpetual
加密3DES-AES              :已启用       perpetual
安全上下文                :2             perpetual
GTP / GPRS                         : Disabled       永动的
AnyConnect高级对等         : 2              perpetual
AnyConnect基础            :禁用      永动的
其他VPN对等                  : 250            perpetual
虚拟专用网 对等总数                  : 250            perpetual
共享许可                   : Disabled       永动的
移动版AnyConnect            :禁用      永动的
适用于Cisco 虚拟专用网 电话的AnyConnect   : Disabled       永动的
先进的端点评估     : Disabled       永动的
UC电话代理会话          :2             perpetual
UC代理会话总数          :2             perpetual
僵尸网络流量过滤器            :禁用      永动的
公司间媒体引擎        :禁用      永动的
IPS模块                       : Disabled       永动的
簇                          :禁用      永动的

该平台具有ASA 5515 安全 Plus许可证。

序列号:FCH100871J
运行永久激活密钥:0xd516745 0x38b8dee 0x2533184 0xc09147c 0x001f093 
配置寄存器为0x1
配置最后由enable_15在07:55:47.355 UTC于2014年4月16日星期三修改

ciscoasa(配置)# 显示模块      

模 Card Type                                    Model              Serial No. 
——————————————————————————————
   0个带软件的ASA 5515-X,6个GE数据,1个GE管理,AC ASA5515           FCH180871J
 ips Unknown                                      N/A                FCH180871J
cxsc未知                                     N/A                FCH180871J

模 MAC Address Range                 Hw Version   Fw Version   Sw Version     
-----------
   0 7426.acc8.e4df至7426.acc8.e4e6 1.0          2.1(9)8      9.1(2)
 ips 7426.acc8.e4dd到7426.acc8.e4dd N/A          N/A          
cxsc 7426.acc8.e4dd到7426.acc8.e4dd N/A          N/A          

模 SSM应用程序名称          状态         SSM应用程序版本
-----------
 ips Unknown                        没有图像不适用
cxsc未知                       没有图像不适用

模 Status             Data Plane 状态    Compatibility
--------
   0 Up Sys             Not Applicable        
 ips Unresponsive       Not Applicable        
cxsc无响应      Not Applicable        

模 License Name   License 状态 Time Remaining
--------
 ips IPS模块    Disabled        perpetual     

2.设置ASDM访问 


接口管理0/0
 仅管理
名字 management
安全级别100
ip address 10.9.200.31 255.255.255.0
no 关掉

HTTP服务器启用
http 10.9.200.0 255.255.255.128 management

ssh 10.9.200.0 255.255.255.128 management


浏览网页 //10.9.200.31/admin ,然后安装ASDM启动器。

 注意:将用户名和密码留空。单击确定。

3.在管理界面上设置SSH访问

ciscoasa(配置)# 用户名admin密码admin
ciscoasa(配置)# 加密密钥生成rsa模数2048
INFO:密钥的名称为:<Default-RSA-Key>
密钥对生成过程开始。请耐心等待…
ciscoasa(config)#写内存
建筑配置…
加密校验和:67435a18 4790aaff 7584afa7 d28c43c0 

2837个字节在0.680秒内被复制
[好]

ciscoasa(配置)# aaa身份验证ssh控制台本地
警告:本地数据库为空!使用“用户名”命令定义本地用户。
ciscoasa(config)#用户名测试密码测试

ciscoasa(配置)# ssh 10.9.200.0 255.255.255.0管理 

4.基本设置和示例

  • 名字
    • ciscoasa(config)#接口vlan1
      ciscoasa(config-if)#nameif inside
      信息:“内部”的安全级别默认设置为100。

  • 安全级别
    • ciscoasa(config-if)#接口vlan3
      ciscoasa(config-if)#nameif dmz
      ciscoasa(config-if)#安全级别 50

  • 接口或VLAN IP地址
    • ciscoasa(config-if)# interface VLAN 1
      ciscoasa(config-if)#IP地址 192.168.106.1

    • ciscoasa(config-if)#接口以太网0/1
      ciscoasa(config-if)#交换机端口访问 vlan 1
      ciscoasa(config-if)#没有关闭

  • 路线
    • ciscoasa(config-if)#路由 outside 0 0 1.1.1.1
    • 测试Configuration with Packet Tracer Feature
      • 模拟一个 TCP协议 协议 数据包进入 IP地址接口 192.168.0.125 在源端口上 12345 定位到的IP地址 203.0.113.1 在港口 80  
        • 在TCP 192.168.0.125 12345 203.0.113.1中输入ciscoasa#packet-tracer 8
      •   模拟一个 TCP协议 协议 数据包进入 IP地址接口 192.0.2.123 在源端口上 12345 定位到的IP地址 198.51.100.101 在港口 80
        • 在TCP 192.0.2.123之外的ciscoasa#数据包跟踪器输入12345 98.51.100.101 80

      5. Transparent or 已路由Firewall 

      更高层自动从透明防火墙允许单播IPv4和IPv6通信
      安全接口到较低的安全接口,没有ACL。

      广播和多播流量可以使用访问规则进行传递。

      通过透明防火墙允许以下目标MAC地址。任何
      不在此列表中的MAC地址被删除。
      •等于FFFF.FFFF.FFFF的TRUE广播目标MAC地址
      •从0100.5E00.0000到0100.5EFE.FFFF的IPv4组播MAC地址
      •IPv6组播MAC地址从3333.0000.0000到3333.FFFF.FFFF
      •BPDU组播地址等于0100.0CCC.CCCD
      •AppleTalk组播MAC地址从0900.0700.0000到0900.07FF.FFFF

      透明模式ASA不传递CDP数据包数据包,也不传递不具有大于或等于0x600的有效EtherType的任何数据包。支持的BPDU和IS-IS例外。

      为了防止使用生成树协议的环路,默认情况下会传递BPDU。要阻止BPDU,您需要配置一个EtherType ACL来拒绝它们。如果使用故障转移,则可能需要阻止BPDU,以防止拓扑结构更改时交换机端口进入阻止状态。

      当ASA在透明模式下运行时,数据包的传出接口是通过执行MAC地址查找而不是路由查找来确定的。但是,对于以下流量类型,必须进行路由查找:
      •来自ASA的流量
      •与启用了NAT的ASA至少相距一跳的流量
      启用检查的IP语音(VoIP)和DNS流量,并且端点至少为一跳
      离开ASA。

      默认情况下,所有ARP数据包都允许通过ASA。您可以通过启用ARP检查来控制ARP数据包的流。

      因为ASA是防火墙,所以如果表中没有数据包的目标MAC地址,则ASA
      不会像普通网桥那样在所有接口上泛洪原始数据包。相反,它会生成
      直接连接的设备或远程设备的以下数据包:
      •直接连接的设备的数据包—
      •远程设备的数据包—

      透明模式默认设置–默认模式是路由模式。
      •默认情况下,所有ARP数据包都允许通过ASA。
      •如果启用ARP检查,则默认设置是泛洪不匹配的数据包。
      •动态MAC地址表条目的默认超时值为5分钟。
      •默认情况下,每个接口都会自动学习输入流量的MAC地址和ASA
      将相应的条目添加到MAC地址表。

      6.多上下文模式

      ciscoasa(配置)# 模式倍数 
      警告:此命令将更改设备的行为
      警告:此命令将启动重新启动
      继续更改模式? [确认] 
      转换系统配置? [确认] 
      !!
      旧的正在运行的配置文件将被写入闪存
      转换配置–大型配置可能需要几分钟
      管理上下文配置将写入闪存
      新的运行配置文件已写入闪存
      安全上下文模式:多个 

      ***
      *** -立即关机-
      ***
      *** 给所有终端的消息:
      ***
      ***   change mode

      ciscoasa /管理员# show 语境 detail 
      上下文“ admin”已创建
       配置URL:disk0:/admin.cfg
       接口:GigabitEthernet0 / 0,GigabitEthernet0 / 5,管理0/0
        IPS Sensors: 
       类别:默认,标志:0x00000813,ID:1

      ciscoasa / admin#changeto系统 
      ciscoasa#show 语境 
      上下文名称     Class      Interfaces           Mode         URL
      *管理员           default    GigabitEthernet0/0,  Routed       disk0:/admin.cfg
                                   GigabitEthernet0/5, 
                                   Management0/0       
       Test             默认   GigabitEthernet0/1   已路由     disk0:/sample_context.cfg

      活动的安全上下文总数:2

      ciscoasa(config-ctx)#显示配置 
      :已保存
      :由enable_15在15:23:23.089 EDT星期五2014年5月16日撰写
      !
      ASA Version 9.1(2) <system>
      !
      主机名ciscoasa
      启用密码gszFpnIcgTCoPiuN加密
      没有mac地址自动
      !
      接口GigabitEthernet0 / 0
      !
      接口GigabitEthernet0 / 1
       shutdown
      !
      接口GigabitEthernet0 / 2
       shutdown
      !
      接口GigabitEthernet0 / 3
       shutdown
      !
      接口GigabitEthernet0 / 4
       shutdown
      !
      接口GigabitEthernet0 / 5
      !
      接口管理0/0
      !
      班级默认
       limit-resource全部0
       极限资源ASDM 5
       极限资源SSH 5
       限制资源Telnet 5
      !

      横幅登录 
      横幅登录‘
      条幅登录您已登录到安全设备。
      标语登录如果您无权访问此
      标语登录设备,请立即注销或承担可能的刑事后果。
      横幅图案 
      引导系统disk0:/asa912-smp-k8.bin
      ftp模式被动
      时钟时区EST -5
      夏令时定期重播
      传呼机线24
      没有故障转移
      asdm映像磁盘0:/asdm-713.bin
      没有启用asdm历史记录
      arp超时14400
      没有arp许可-未连接
      控制台超时0

      管理员上下文管理员
      语境 admin
       分配接口GigabitEthernet0 / 0 
       分配接口GigabitEthernet0 / 5 
       分配接口管理0/0 
       config-url disk0:/admin.cfg
      !

      语境 Test
       描述这是测试客户A的上下文
        allocate-interface 千兆以太网0/1interface1 
       分配接口GigabitEthernet0 / 2 
        config-urldisk0:/sample_context.cfg
      !

      用户名测试密码P4ttSyrm33SV8TYp加密

      prompt hostname 语境 
      没有匿名的回电报告
      加密校验和:58e3ee4507ba1ced5b2adaa4f1b150f0


      ciscoasa / admin(config)# changeto 语境 Test
      ciscoasa /测试(配置)# 显示配置 
      :已保存
      :由enable_15在15:30:24.969 EDT星期五2014年5月16日撰写
      !
      ASA Version 9.1(2) <context>
      !
      主机名测试
      启用密码8Ry2YjIyt7RRXU24加密
      名字
      !
      接口interface1
       no 名字
       no 安全级别
       no ip address
      !
      接口管理0/0
       management-only
       no 名字
       no 安全级别
       no ip address
      !
      传呼机线24
      icmp无法到达速率限制1突发大小1
      没有启用asdm历史记录
      arp超时14400
      超时xlate 3:00:00
      超时时间0:00:30
      超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02
      超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
      超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
      超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
      超时tcp-proxy-reassembly 0:01:00
      超时浮动conn 0:00:00
      用户身份默认域LOCAL
      没有snmp服务器位置
      没有snmp服务器联系
      加密ipsec安全关联管理无限
      telnet超时5
      ssh超时5
      SSH密钥交换组dh-group1-sha1
      没有威胁检测统计信息tcp-intercept
      !
      类图检查_默认
       匹配默认检查流量
      !
      !
      策略映射类型检查dns预设_dns_map
       parameters
       邮件长度最大客户端自动
       讯息长度上限512
      政策图global_policy
       类inspection_default
       检查dns预设_dns_map 
        inspect ftp 
        inspect h323 h225 
        inspect h323 ras 
        inspect ip-options 
        inspect netbios 
        inspect rsh 
        inspect rtsp 
        inspect skinny  
        inspect esmtp 
        inspect sqlnet 
        inspect sunrpc 
        inspect tftp 
        inspect sip  
        inspect xdmcp 
      !
      服务策略全局_策略全局
      加密校验和:37989de030631be2f716051eca2f01c1

      : 结束

      ciscoasa(config-ctx)# 全部写入内存 
      建筑配置…
      保存上下文:         系统:(已保存000/002上下文) 
      加密校验和:6469133b e64dd3f3 5a634ba6 42d1495d 

      在0.690秒内复制了1684字节
      保存上下文:           admin:(已保存001/002上下文) 
      加密校验和:714e8aba f5ca6ed0 8508dbaf eba2f3cb 

      在0.190秒内复制了7649字节
      保存上下文:            测试: (002/002 Contexts saved) 
      加密校验和:6124f114 b4910350 b1137692 0dfc32c1 

      1671个字节在0.80秒内被复制
      [好]                           

      7.从ASA内部接口向外部ping

      注意:11.11.11.11是本地LAN接口,而1.1.1.2是另一个ASA的WAN接口。从本地ASA LAN接口到外部的ping失败,因为ASA默认情况下维护TCP的状态表&仅限UDP连接。并不是说ping操作不成功,仅仅是ASA不允许来自配置了较低安全级别的接口的回显回复。解决方案将在这里 使用ASDM发布信息后,请在全局策略中打开icmp检查.

      ciscoasa(配置)# 数据包跟踪器输入WAN icmp 11.11.11.11 8 0 1.1.1.2详细信息

      阶段1
      类型:ROUTE-LOOKUP
      子类型:输入
      结果:允许
      配置:
      附加信息:
      in   1.1.1.0         255.255.255.0   WAN

      阶段2
      类型:访问列表
      子类型: 
      结果:DROP
      配置:
      隐含规则
      附加信息:
       基于正向流的查找产生规则:
       in  id = 0xd98d6050,优先级= 111,域=权限,拒绝= true
             hits = 4,user_data = 0x0,cs_id = 0x0,flags = 0x4000,protocol = 0
             src ip / id = 0.0.0.0,掩码= 0.0.0.0,端口= 0
             dst ip / id = 0.0.0.0,mask = 0.0.0.0,port = 0,dscp = 0x0
             input_ifc = WAN,output_ifc = WAN

      结果:
      输入接口:WAN
      输入状态:向上
      输入线状态:向上
      输出接口:WAN
      输出状态:上
      输出线状态:向上
      动作:掉落
      丢弃原因:(acl-drop)已配置规则拒绝流

      对于到ASA本身的icmp通信,命令如下:

      ciscoasa(配置)# 嘘 icmp
      icmp无法到达速率限制1突发大小1
      icmp允许任何WAN
      icmp允许任何局域网

      注意:如果从内部到外部启用了NAT,则可能需要添加访问列表以允许icmp echo-r​​eply数据包进入外部接口。

      8.启用日志记录

      ciscoasa(配置)# 记录启用
      ciscoasa(配置)# 日志记录缓冲7
      ciscoasa(配置)# 记录asdm信息
      asa842-1(配置)# sh日志
      Syslog日志记录:已启用
          Facility: 20
         时间戳记录:已禁用
         备用日志记录:已禁用
         调试跟踪日志记录:已禁用
         控制台日志记录:已禁用
         监视日志记录:已禁用
          缓冲区记录:级别调试,记录了6条消息
         陷阱记录:已禁用
         允许主机记录日志:已禁用
         历史记录:已禁用
          Device ID: disabled
         邮件记录:已禁用
          ASDM日志记录:级别信息,记录了23条消息
      %ASA-5-111008:用户“ enable_15”执行了“日志记录缓冲7”命令。
      %ASA-5-111010:用户“ enable_15”,从IP 0.0.0.0运行“ CLI”,执行了“记录缓冲7”
      %ASA-7-609001:内置的本地主机LAN:11.11.11.12
      %ASA-7-609001:内置的本地主机WAN:22.22.22.23
      %ASA-6-302020:为faddr 22.22.22.23/0 gaddr 11.11.11.12/55300建立了出站ICMP连接laddr 11.11.11.12/55300
      %ASA-6-302020:为faddr 22.22.22.23/0 gaddr 11.11.11.12/55300的内置入站ICMP连接laddr 11.11.11.12/55300


      9.  NAT  

      • 动态nat(全球)
        • 对象网络 内-subnet
          subnet 192.168.0.0 255.255.255.0
          纳特( inside,outside) dynamic interface
      • 静态对象
        • 对象网络 webserver-external-ip
          主办 198.51.100.101
          !
          对象网络 webserver
          主办 192.168.1.100
          纳特( dmz,outside) static webserver-external-ip service tcp www www

      以下是来自fir3net.com的 发布

      现在有2种类型的NAT。自动和手动NAT。
      • 自动NAT –进行NAT时,仅将源用作匹配条件。
      • 手动NAT – NAT `时,将源和目标用作匹配条件。

      自动NAT

      自动NAT仅在执行NAT时才考虑源地址。基于此,自动NAT仅用于静态或动态NAT。
      在配置自动NAT时,将在一个对象内进行配置。
      以下是静态NAT的示例。
      asa(config)#对象网络obj-server
      asa(配置网络对象)#主机 192.168.100.1<– REAL IP
      asa(配置网络对象)#nat(,静态88.88.88.1<– MAPPED IP
      配置完此NAT并查看配置后,我们可以在2个地方看到配置; NAT 和对象。
      asa#显示运行对象
      对象网络obj-server
        host 192.168.100.1

      asa#show run nat
      对象网络obj-server
        纳特( ,) 静态的 88.88.88.1

      手动NAT

      手动NAT在执行NAT时仅考虑源地址或源地址和目标地址。手动NAT可用于(几乎)所有类型的NAT,例如NAT豁免,策略NAT等。
      由于手动NAT还可以在单​​个语句中对源和目标进行NAT,因此也称为 两次NAT.
      与在对象内配置的自动NAT不同,手动NAT是直接从全局配置模式配置的。但是,在“手动NAT”规则中仅使用对象,而不是直接使用IP地址。
      以下是静态NAT的示例,其中仅将源视为NAT。但是,这通常是通过自动NAT完成的。
      对象网络obj-server-private
        host 192.168.100.1
      对象网络 obj-server-public
        host 88.88.88.88

      纳特( 非军事区 ,)源静态 obj-server-private obj-server-public

      下面显示了我们想要同时考虑源和目标的语法。此方法(两次NAT)也用于NAT免除(点击这里查看文章
      纳特( real_ifc, 映射的 _ifc )源静态 真实SRC 映射的SRC destination static 真实DST 映射DST
      NAT 顺序
      NAT 是3个部分内的命令。
      • 第1节–手动NAT
      • 第2节-自动NAT
      • 第三节–手动Nat After-Auto
      默认情况下,仅使用第1节和第2节。但是,如果您需要在自动NAT之后放置手动NAT规则,则可以在配置手动NAT规则以将其放置在第3节中时指定关键字after-auto。
      nat(真实的,映射的)[自动后] [行号]………
      要查看优先级顺序,请使用“ show nat”命令。 

      10.访问规则

      在配置了相同安全级别的接口之间启用流量

      入站和出站规则
      您可以根据流量方向配置访问规则:
      •入站-入站访问规则适用于进入接口的流量。全球和管理访问
      规则总是入站的。
      •出站-出站规则适用于退出接口的流量。
      “入站”和“出站”是指接口上的ACL应用程序,用于进入ACL的流量。
      接口上的ASA或接口上退出ASA的流量。这些术语不指流量从较低安全性接口到较高安全性接口(通常称为入站)或从较高安全性至较低接口(通常称为出站)的移动。
      注意
      例如,如果要仅允许内部网络上的某些主机访问外部网络上的Web服务器,则出站ACL很有用。与其创建多个入站ACL来限制访问,

      • 访问列表(ACL)
        • 来自的流量  降低  安全接口是  被拒绝  when going to a  更高  security interface
        • 来自的流量  更高  安全接口是  允许的  when going to a  降低  安全介面
        •  范例1:
          access-list 外_acl extended permit tcp any object webserver eq www
          !
          access-group 外_acl in interface 外
        •  范例2:
        • 对象网络 dns-server
          主办 192.168.0.53
          !
          access-list dmz_acl extended permit udp any object dns-server eq domain
          access-list dmz_acl extended deny ip any object 内-subnet
          access-list dmz_acl extended permit ip any any
          !
          access-group dmz_acl in interface dmz

      11.访问规则示例

      ASA示例拓扑

      ciscoasa# 
      :已保存

      :
      :序列号:9ALU3EW6LDF
      : 硬件: ASAv,1024 MB RAM,CPU Xeon 5500系列2294 MHz
      :
      ASA 9.5(1)200版
      !
      主机名ciscoasa
      启用密码PVSASRJovmamnVkD加密
      每会话xlate拒绝tcp any4 any4
      每会话xlate拒绝tcp any4 any6
      每会话xlate拒绝tcp any6 any4
      每会话xlate拒绝tcp any6 any6
      每会话xlate拒绝udp any4 any4 eq域
      每会话xlate拒绝udp any4 any6 eq域
      每会话xlate拒绝udp any6 any4 eq域
      每会话xlate拒绝udp any6 any6 eq域
      名字
      !
      接口GigabitEthernet0 / 0
       说明内部接口
       nameif INTERNAL
       security-level 100
       IP地址10.9.200.12 255.255.255.0
      !
      接口GigabitEthernet0 / 1
       说明DMZ接口
       nameif 非军事区
       security-level 100
       IP地址172.17.3.12 255.255.255.0
      !
      接口GigabitEthernet0 / 2
       shutdown
       no 名字
       no 安全级别
       no ip address

      !
      接口管理0/0
       management-only
       nameif MGMT
       security-level 0
       IP地址192.168.2.12 255.255.255.0
      !
      ftp模式被动
      相同安全流量的允许接口
      对象网络H_172.17.3.62_DMZ
       host 172.17.3.62
       description OpenWRT2
      对象网络h_10.9.200.62_Internal
       host 10.9.200.62
       说明内部OpenWRT1
      对象组服务DM_INLINE_SERVICE_1
       service-object icmp
       服务对象tcp目标eq ssh
      扩展访问列表DMZ_access_in允许icmp任何
      访问列表INTERNAL_access_in扩展许可对象组DM_INLINE_SERVICE_1对象h_10.9.200.62_内部对象H_172.17.3.62_DMZ
      传呼机线23
      记录启用
      记录缓冲调试
      记录asdm信息
      mtu MGMT 1500
      mtu内部1500
      mtu 非军事区 1500
      没有故障转移
      icmp无法到达速率限制1突发大小1
      没有启用asdm历史记录
      arp超时14400
      没有arp许可-未连接
      接口INTERNAL中的access-group INTERNAL_access_in
      接口DMZ中的访问组DMZ_access_in
      超时xlate 3:00:00
      超时时间0:00:30
      超时conn 1:00:00半关闭0:10:00 udp 0:02:00 icmp 0:00:02
      超时sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
      超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
      超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
      超时tcp-proxy-reassembly 0:01:00
      超时浮动conn 0:00:00
      用户身份默认域LOCAL
      aaa身份验证ssh控制台本地
      HTTP服务器启用
      http 192.168.2.0 255.255.255.0 MGMT
      没有snmp服务器位置
      没有snmp服务器联系
      加密ipsec安全关联管理无限
      crypto ca trustpoint _SmartCallHome_ServerCA
       no validation-usage
       crl configure
      加密CA Trustpool策略
      加密CA证书链_SmartCallHome_ServerCA
       证书ca 6ecc7aa5a7032009b8cebcf4e952d491
         308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
        ………
         6119b5dd cdb50b26 058ec36e c4c875b8 46cfe218 065ea9ae a8819a47 16de0c28
         6c2527b9 deb78458 c61f381e a4c4cb66
        quit
      telnet超时5
      ssh stricthostkeycheck
      ssh 192.168.2.0 255.255.255.0 MGMT
      ssh 10.9.200.0 255.255.255.0内部
      ssh超时5
      SSH密钥交换组dh-group1-sha1
      控制台超时0
      威胁检测基本威胁
      威胁检测统计信息访问列表
      没有威胁检测统计信息tcp-intercept
      动态访问策略记录DfltAccessPolicy
      用户名管理员密码eY / fQXw7Ure8Qrz7加密
      !
      类图检查_默认
       匹配默认检查流量
      !
      !
      策略映射类型检查dns预设_dns_map
       parameters
       邮件长度最大客户端自动
       讯息长度上限512
      政策图global_policy
       类inspection_default
        inspect ip-options
        inspect netbios
        inspect rtsp
        inspect sunrpc
        inspect tftp
        inspect xdmcp
       检查dns预设_dns_map
        inspect ftp
        inspect h323 h225
        inspect h323 ras
        inspect rsh
        inspect esmtp
        inspect sqlnet
        inspect sip
        inspect skinny
      策略映射类型检查dns migrationd_dns_map_1
       parameters
       邮件长度最大客户端自动
       讯息长度上限512
      !
      服务策略全局_策略全局
      prompt hostname 语境
      没有匿名的回电报告
      回电
       profile License
        destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
       目的地运输方法http
       profile 思科公司 TAC-1
        no active
        destination address http //tools.cisco.com/its/service/oddce/services/DDCEService
       目的地地址电子邮件 [电子邮件 protected]
       目的地运输方法http
       订阅警报组诊断
       订阅警报组环境
       每月定期订阅警报组库存
       每月定期订阅警报组配置
       每日定期订阅警报组遥测
      hpm topN启用
      加密校验和:f0b9b7ac46de68d4f289d84909d1d497
      : 结束

      12.备份和还原配置

      将配置备份到本地磁盘。

      ciscoasa# 复制启动配置磁盘0:/ backup-02202016

      目标文件名[backup-02202016]? 

      复制中…C
      以0.10秒的时间复制7072个字节
      ciscoasa# 

      恢复配置

      ciscoasa(配置)# 清除全部配置
      ciscoasa# 复制disk0:/ backup-02202016 启动配置 

      13. ICMP / SSH / ASDM到一个接口后面的另一个接口

      我遇到了与帖子相同的问题 “找不到出口接口… ”。
      拓扑结构:

      Lan2Lan.jpg

      症状:
      IP计算机1可以访问IP计算机2,但不能访问防火墙ASA的IP 内2,即使它与IP Computer2位于同一网段。

      来自帖子的解决方案:

      “思科防火墙不允许ICMP从同一设备的一个接口后面到另一个接口。唯一的例外是,当流量通过VPN进入,并且已经从VPN连接后面向要向其发送ICMP的设备输入了特定的配置命令时。
      因此,如果  电脑1 needs to ICMP Inside 2 然后具有 Inside 2 接口必须使用以下命令配置
      管理访问

      
      
      HTTP服务器启用

      http 10.50.2.0 255.255.255.0 Mgmt
      http 172.17.0.0 255.255.255.0 MGMT

      ssh 10.50.2.0 255.255.255.0 MGMT
      ssh 172.17.0.0 255.255.255.0 MGMT

      管理访问 MGMT

      通过 约翰

      发表评论