配置ciscoASA

 

在ASA上面的配置ip地址

ciscoasa(config）#in e0/0

cscoasa(config-if)#nameif inside

ciscoasa(config-if)#ip add 10.10.10.254 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#in e0/1

ciscoasa(config-if)#security-level 50

ciscoasa(config-if)#nameif dmz

ciscoasa(config-if)#ip add 10.20.20.254 255.255.255.0

ciscoasa(config-if)#no shut

ciscoasa(config-if)#in e0/2

ciscoasa(config-if)#nameif outside

ciscoasa(config-if)#ip add 200.1.1.2 255.255.255.252

ciscoasa(config-if)#no shut

ciscoasa(config-if)#show nameif查看接口名字及安全级别

ciscoasa(config-if)#show ip add查看所配置的ip地址

2，配置默认路由

ciscoasa(config）#router outside 0 0 200.1.1.2

ciscoasa(config）#show route查看路由表

3,配置远程登录，实现pc1能够远程登录到ASA。有两种配置方法（Telnet和SSH，防火墙不允许从outside接口通过telnet方式管理）

ciscoasa(config）#telnet 0 0 inside（telnet方式）

ciscoasa(config）#crypto key generate rsa modulus 1024

ciscoasa(config）#ssh 10.10.10.1 255.255.255.255 inside

ciscoasa(config）#ssh 0 0 outside（ssh方式）

4.配置动态nat和global命令（从高安全级别访问低安全级别）,实现pc1能够访问outside和dmz区域。

ciscoasa(config）#nat （inside） 1 10.10.10.1 255.255.255.255

ciscoasa(config）#global (outside) 1 interface 

ciscoasa(config）#global (dmz) 1 interface

5.配置acl和atatic nat（从低安全级别访问高安全级别），实现outside区域能够访问dmz区域

ciscoasa(config）#access-list out-to-dmz permit tcp any host 200.10.10.253  eq 80

ciscoasa(config）#static （dmz，outside） 200.10.10.253 10.20.20.1（注意写的顺序）

ciscoasa(config）#access-group out-to-dmz in interface outside

但此时需要在r1上配置一条默认路由 ip route 200.10.10.253 255.255.255.255 200.1.1.2

6.此时pc1已经能够访问外网和web服务器，但是默认情况下是ping不通out的，因为ASA将它的回应包给拒绝掉了。此时需要配置icmp穿越

ciscoasa(config）#access-list out-to-dmz permit icmp any any（注意此时的acl必须和步骤5的一样，因为一个接口的一个方向只能有一个访问控制列表）