ASA

int e0/0
ip add 192.168.1.1 24
nameif inside
secruity-leve 100

int e0/0/0
ip add 192.168.2.1 24
nameif inside
security-leve 100

int e0/1
ip add 172.16.1.1  24
nameif dmz
secruity-leve 50

int e0/2
定义区域
nameif outside
配置IP
ip add 200.1.1.1 24
设置安全等级,数字越小,等级越低, 默认高等级可以到低等级,
低等级不能到高等级,除非设置策略
secruity-leve 0

配置路由,不同于路由器的 ip route
route inside 192.168.0.0  16 192.168.1.2
route outside 0.0.0.0 0 200.1.1.2

配置acl
access-list 100 permit icmp any any
应用acl ,不同于路由器在接口模式下,全局模式
access-group 100 in outside interface e0/2

动态NAT
nat 一般定义内部的
global 一般定义外部

两个匹配通过  nat id

查看 show xlate detail
清除 clear xlate
标示符 flags

栗子  1  用来关联 nat global  
192.168.1.0  也可以用acl 控制

nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 200.1.1.10-200.1.1.20
global (dmz) 1 172.16.2.0 255.255.255.0

匹配所有内部网络 ,0 0 表示所有网络
nat (inside) 1 0 0

-----------------------------------
动态PAT ,居于端口的转换

nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 200.1.1.1  
global (outside) 1 interface  #直接指定端口

--------------------------------------
静态NAT  隐藏内部IP
低安全级别要去访问高安全级别,需要策略放行

acess-list out_to_dmz host 200.1.1.2 host 172.16.1.2
策略应用到outside 的进方向
access-group out_to_dmz in interface outside

static (dmz,outside) 200.1.1.10 172.16.1.2
#static 关键字,
#(dmz,outside) ,先高安全级别,低安全级别
# 200.1.1.10 172.16.1.2 ,先外部,再内部

static (dmz,outside) 200.1.1.100 172.16.1.2

#放行流量 ,因为已经映射了 地址转成 100, 所以放行100
access-list 100 permit ip host 200.1.1.100 host 172.16.1.2
#把策略应用到接口
access-group 100 in interface outside

------------------------------------------------
静态PAT,居于端口的映射

static (dmz,outside) tcp 200.1.1.10 http 172.16.1.2 http
static (dmz,outside) tcp 200.1.1.10 ftp 172.16.1.2 ftp

access-list 100 permit tcp 200.1.1.10 http  172.16.1.2 http
access-list 100 permit tcp 200.1.1.10 ftp 172.16.1.2 ftp

access-group 100 in interface outside

---------------------------------------------
NAT控制

nat-control  默认关闭

内网 inside 可以访问 outside ,但是没有NAT
nat规则不是必需

开启nat-control 默认所有inside 都要nAT 才能出 outside
NAT规则必需

NAT 豁免
当开启NAT控制时,每个发起的链接都需要一个相应的NAT规则,
在某些应用场景(例如配置VPN)需要绕过NAT规则

NAT 豁免允许双向通讯
NAT 豁免的配置步骤
    定义一个ACL ,用于指定需要绕过NAT规则的流量。

acess-list nonat extended permit ip 192.168.2.0 255.255.255.0 200.1.1.0 255.255.255.0

#这里一定要用  0   nat id
nat (inside) 0 access-list nonat

-------------------------------------------------------

策略NAT
定义acl ,
NAT 时匹配 acl ,实现流量分流。

access-list WEB extended permit 192.168.2.0 255.255.255.0 host 172.168.1.2 eq 80
access-list telnet extended permit 192.168.2.0 255.255.255.0 host 172.168.1.2 eq telnet

nat (inside) 1 acess-list WEB
global (dmz) 1 200.1.1.2

nat (inside) 2 access-list telnet
global (dmz) 2 200.1.1.3

实现效果,
1,当192.168.2.0 网段主机去访问 172.16.1.2 的80端口时  nat 200.1.1.2 地址
2,当192.168.2.0 网段主机去访问 172.168.1.2 的23 端口时 nat 200.1.1.3 地址

验证  telnet 172.16.1.2 80 /source interface loopback 0

--------------------------
NAT 优先级

NAT 豁免最高
静态NAT 和静态PAT

策略动态 NAT  nat access-list
正常的动态NAT

ACL 写法不同于路由器,   不用反掩码, 路由协议宣告网络时,也不用反掩码,用正常掩码即可。

telnet 配置 开启 telnet 服务
允许192.168.1.110 telnet ASA防火墙
telnet 192.168.1.110 255.255.255.2555 inside
telnet 172.16.1.110 255.255.255.255 dmz

telnet timeout 10  #设置超时时间,10分钟不活动自动断开连接

passwd 666 #设置远程登录密码

-----------------------------------------------------------------
开启ssh  服务

username admin passwd 1234

启用 aaa

aaa  authentication enable console LOCAL #设置enable 验证

aaa authentication ssh console LOCAL #设置ssh 验证

ssh 172.16.1.2 255.255.255.255 dmz
ssh 192.168.1.0 255.255.255.0 inside

crypto key generate rsa moduls 1024

验证 ssh -l 用户名密码登录,还有其他方式

ssh -l admin 172.16.1.1  输入密码

enable

再次输入用户密码
ssh 是居于用户管理,所以enable 的密码也是 用户密码,

-----------------------------------------------------------------------------------------------------
相同安全等级下的不同端口默认不能通讯

same-security-traffic permit inter-interface

思科ASA 基础学习的更多相关文章

  1. 思科ASA放行主/被动FTP

    实验环境: 设备说明: internet是一台windows10,用于模拟外网客户 ASA是思科ASA防火墙 FTP-SERVER是Centos7,Centos7上安装了vsftpd 实验说明: 本文 ...

  2. salesforce 零基础学习(五十二)Trigger使用篇(二)

    第十七篇的Trigger用法为通过Handler方式实现Trigger的封装,此种好处是一个Handler对应一个sObject,使本该在Trigger中写的代码分到Handler中,代码更加清晰. ...

  3. 如何从零基础学习VR

    转载请声明转载地址:http://www.cnblogs.com/Rodolfo/,违者必究. 近期很多搞技术的朋友问我,如何步入VR的圈子?如何从零基础系统性的学习VR技术? 本人将于2017年1月 ...

  4. IOS基础学习-2: UIButton

    IOS基础学习-2: UIButton   UIButton是一个标准的UIControl控件,UIKit提供了一组控件:UISwitch开关.UIButton按钮.UISegmentedContro ...

  5. HTML5零基础学习Web前端需要知道哪些?

    HTML零基础学习Web前端网页制作,首先是要掌握一些常用标签的使用和他们的各个属性,常用的标签我总结了一下有以下这些: html:页面的根元素. head:页面的头部标签,是所有头部元素的容器. b ...

  6. python入门到精通[三]:基础学习(2)

    摘要:Python基础学习:列表.元组.字典.函数.序列化.正则.模块. 上一节学习了字符串.流程控制.文件及目录操作,这节介绍下列表.元组.字典.函数.序列化.正则.模块. 1.列表 python中 ...

  7. python入门到精通[二]:基础学习(1)

    摘要:Python基础学习: 注释.字符串操作.用户交互.流程控制.导入模块.文件操作.目录操作. 上一节讲了分别在windows下和linux下的环境配置,这节以linux为例学习基本语法.代码部分 ...

  8. CSS零基础学习笔记.

    酸菜记 之 CSS的零基础. 这篇是我自己从零基础学习CSS的笔记加理解总结归纳的,如有不对的地方,请留言指教, 学前了解: CSS中字母是不分大小写的; CSS文件可以使用在各种程序文件中(如:PH ...

  9. Yaf零基础学习总结5-Yaf类的自动加载

    Yaf零基础学习总结5-Yaf类的自动加载 框架的一个重要功能就是类的自动加载了,在第一个demo的时候我们就约定自己的项目的目录结构,框架就基于这个目录结构来自动加载需要的类文件. Yaf在自启动的 ...

随机推荐

  1. CocoaPods(pod install一直不动)

    CocoaPods安装和使用教程 如何在Mac 终端升级ruby版本 RubyGems 镜像 cocoapods无法使用(mac os 10.11升级导致pod: command not found)

  2. double类型与Double包装类型

    先看下面的代码 package test; public class DoubleTest { public static void main(String[] args) { Double oD = ...

  3. iOS8扩展插件开发配置 [转载]

    一.iOS8扩展插件概述 WWDC14除了发布了OS X v10.10和switf外,iOS8.0也开始变得更加开放了.说到开放,当然要数应用扩展(App Extension)了.顾名思义,应用扩展允 ...

  4. HDU - 6513 Reverse It (SYSU校赛C题)(组合数学+容斥)

    题目链接 题意:给定一个n*m的矩阵,可以选择至多两个子矩阵将其反转,求能形成多少种不同的矩阵. 任选一个矩阵有$C_{n+1}^{2}C_{m+1}^{2}$种方法,任选两个不同的矩阵有$C_{C_ ...

  5. BZOJ3747 POI2015 Kinoman 【线段树】*

    BZOJ3747 POI2015 Kinoman Description 共有m部电影,编号为1~m,第i部电影的好看值为w[i]. 在n天之中(从1~n编号)每天会放映一部电影,第i天放映的是第f[ ...

  6. SSZipArchive使用详解

    下载SSZipArchive,点击我.或者自己在这里下载. SSZipArchive功能: 解压zip文件 解压密码保护的zip文件 创建zip文件 追加到zip文件 压缩文件 使用一个名字来压缩NS ...

  7. WPF自定义组件,自定义属性(依赖属性)

    正常定义的以来属性,在XAML里设置值得时候是不触发Setter的,只能在code中用. 监听PropertyChangedCallback事件可以感知XAML里的设置,这样才能code和XAML配合 ...

  8. vue-router教程二(要素篇之新手入门)

    注意,我们将在指南中使用es 2015代码样本.此外,所有示例都将使用VUE的完整版本来使在线模板编译成为可能.请参阅这里的更多细节. 用vue路由器创建单页应用程序是非常简单的.使用vue.js,我 ...

  9. spring--集合注入(常规方法)

    数据,list,set,map,Properties 集合注入 package Spring_collections; /** * Created by luozhitao on 2017/8/11. ...

  10. Eclipse git插件使用

    1.Eclipse git插件使用 1)配置提交用户名和邮箱 2)在eclipse中选择Show View 搜索git 3)点击clone按钮 选择代码保存路径 4)导入项目 5)git插件功能介绍 ...