,拓扑结构:
,
<强劲> 强> (R1)——(内部)<强> ASA 5520 强>(外)- - - <强> 强> (R2) , , , , <强> ASA配置:强> , , ASA 8.4版(2) 主机名ciscoasa 启用密码rQETR98wpSI1Lpr9加密 passwd rQETR98wpSI1Lpr9加密 的名字 接口GigabitEthernet0 nameif里面 100年安全级别 ip地址192.168.1.4 255.255.255.0 ! 接口GigabitEthernet1 nameif非军事区 安全级别50 没有ip地址 ! 接口GigabitEthernet2 nameif外 安全级别0 ip地址10.254.1.1 255.255.255.0 ! ftp模式被动 强> <强>对象网络测试 <强>主机192.168.1.5 强> 寻呼机24行 日志启用 日志asdm信息 日志debug-trace mtu在1500 mtu dmz 1500 mtu 1500外 icmp的限速1释放量1 没有asdm历史使 arp超时14400 ! 强> <强>对象网络测试 <强>动态10.254.1.10 nat(内部、外部),- - - - -动态NAT 强> dynamic-access-policy-record DfltAccessPolicy 用户身份默认域本地 http服务器启用 http 192.168.1.0 255.255.255.0里面 snmp-server启用snmp陷阱身份验证连接linkdown冷起动warmstart 加密ca trustpoint _SmartCallHome_ServerCA crl配置 telnet 192.168.1.0 255.255.255.0里面 远程登录超时5 ssh超时5 控制台超时0 军事basic-threat 军事统计访问列表 没有军事统计tcp-intercept 网络* * * anyconnect-essentials 用户名netemu密码加密QTbvAEdn30mERkZb特权15 ! class-map inspection_default 匹配default-inspection-traffic ! ! 检查dns preset_dns_map策略图类型 参数 消息长度最大客户的汽车 消息长度最大512 策略图global_policy 类inspection_default 检查dns preset_dns_map 检查ftp 检查h423 h325 检查h423拉 检查ip-options 检查netbios 检查rsh 检查rtsp 检查瘦 检查esmtp 检查sqlnet 检查sunrpc 检查tftp 检查口 检查xdmcp <强>检查icmp 强> 检查icmp错误 ! 服务策略global_policy全球 提示主机名上下文 打电话回家报告匿名 打电话回家 概要CiscoTAC-1 没有活动 , crashinfo拯救禁用 Cryptochecksum: bfa7c38d2288de6d8cb12bd5c4be8eb6 :结束 , , , NAT转化击中计数器: <强> ciscoasa #显示nat的细节,,,去外面往地址段的地址转换强> , 汽车NAT政策(2节) <强> 1(内)(外)源动态测试10.254.1.10 强> <强> translate_hits=126, untranslate_hits=90 强> <强>来源——产地:192.168.1.5/32,翻译:10.254.1.10/32 强> , , 在实验过程中发现检查引擎下的配置删除掉了需手动加上 并加上以下配置: 策略图global_policy类inspection_default
检查icmp 网上有详细解释! , , , <>强路内由器配置:强> 在# running-config 构建配置… , 当前配置:959字节 ! 版本12.4 服务时间戳调试datetime毫秒 时间戳服务日志datetime毫秒 ip域名lab.local ip auth-proxy max-nodata-conns 3 ip承认max-nodata-conns 3 ! 接口FastEthernet0/0 ip地址192.168.1.5 255.255.255.0 双工汽车 汽车速度 ! 接口FastEthernet0/1 没有ip地址 关闭 双工汽车 汽车速度 ! ip forward-protocol nd ip路由0.0.0.0 0.0.0.0 192.168.1.4 行con 0 exec-timeout 0 0 特权级别15 日志同步 行辅助0 exec-timeout 0 0 特权级别15 日志同步 行vty 0 4 登录 结束 , , , <>强路外由器配置:强> 从#显示runn 构建配置… , 当前配置:1006字节 版本12.4 服务时间戳调试datetime毫秒 时间戳服务日志datetime毫秒 没有服务密码加密 ! 主机名出 没有ip域查找 ip域名lab.local ip auth-proxy max-nodata-conns 3 ip承认max-nodata-conns 3 , 用户名admin密码0思科 接口FastEthernet0/0 ip地址10.254.1.5 255.255.255.0 双工汽车 汽车速度 ip forward-protocol nd ip路由0.0.0.0 0.0.0.0 10.254.1.1,- - - - - -默认路由指向内端网络 行con 0 exec-timeout 0 0 特权级别15 日志同步 行辅助0 exec-timeout 0 0 特权级别15 日志同步 行vty 0 4 密码思科 登录 结束 , , 我们需要了解ASA对于入站和出站的定义: 高安全级别,——比;低安全级别,出站 低安全级别,——比;高安全级别,入站 , 默认情况:出站流量是允许的(特例请见下文) ,,,,,,进流量是禁止的, , 也就是从高到低方向是允许的,也可以返回的。但不可以直接从低到高。 , ACL可以禁止或允许这两个方向的流量 ,