Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

這篇具有很好參考價值的文章主要介紹了Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

IP 地址分配表

設(shè)備	接口	IP 地址	子網(wǎng)掩碼	默認(rèn)網(wǎng)關(guān)
R1	G0/0	209.165.200.225	255.255.255.248	不適用
R1	S0/0/0 (DCE)	10.1.1.1	255.255.255.252	不適用
R2	S0/0/0	10.1.1.2	255.255.255.252	不適用
R2	S0/0/1 (DCE)	10.2.2.2	255.255.255.252	不適用
R3	G0/1	172.16.3.1	255.255.255.0	不適用
R3	S0/0/1	10.2.2.1	255.255.255.252	不適用
ASA	VLAN 1 (E0/1)	192.168.1.1	255.255.255.0	不適用
ASA	VLAN 2 (E0/0)	209.165.200.226	255.255.255.248	不適用
ASA	VLAN 3 (E0/2)	192.168.2.1	255.255.255.0	不適用
DMZ 服務(wù)器	NIC	192.168.2.3	255.255.255.0	192.168.2.1
PC-B	NIC	192.168.1.3	255.255.255.0	192.168.1.1
PC-C	NIC	172.16.3.3	255.255.255.0	172.16.3.1

目標(biāo)

·?????????驗證連接并了解 ASA

·?????????使用 CLI 配置基本 ASA 設(shè)置和接口安全級別

·?????????使用 CLI 配置路由、地址轉(zhuǎn)換和檢查策略

·?????????配置 DHCP、AAA 和 SSH

·?????????配置 DMZ、靜態(tài) NAT 和 ACL

拓?fù)鋱D

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

場景

您公司的某個位置連接到 ISP。R1 代表由 ISP 管理的 CPE 設(shè)備。R2 代表中間互聯(lián)網(wǎng)路由器。R3 代表代表 ISP，其連接從網(wǎng)絡(luò)管理公司雇來負(fù)責(zé)遠(yuǎn)程管理網(wǎng)絡(luò)的管理員。 ASA 是一種邊緣 CPE 安全設(shè)備，它將內(nèi)部企業(yè) 網(wǎng)絡(luò)和 DMZ 連接到 ISP，同時為內(nèi)部主機(jī)提供 NAT 和 DHCP 服務(wù)。ASA 將配置為受內(nèi)部網(wǎng)絡(luò)上的管理員和遠(yuǎn)程管理員的管理。?第 3 層 VLAN 接口提供對練習(xí)中創(chuàng)建的三個區(qū)域的訪問：內(nèi)部、外部和 DMZ。 ISP 分配的公共 IP 地址空間為 209.165.200.224/29，用于在 ASA 上進(jìn)行地址轉(zhuǎn)換。

已使用以下信息對所有路由器所有交換機(jī)進(jìn)行了預(yù)配置：

o????啟用密碼：ciscoenpa55

o????控制臺密碼：ciscoconpa55

o????Admin 用戶名和密碼：admin/adminpa55

注意：此 Packet Tracer 練習(xí)無法取代 ASA 實驗。本練習(xí)提供其他做法并模擬了大多數(shù) ASA 5505 配置。與實際的 ASA 5505 相比，Packet Tracer 上尚不支持的命令輸出或命令可能存在細(xì)微的差別。

第 1 部分：驗證連接并了解 ASA

注意：此 Packet Tracer 練習(xí)開始時，20% 的考試項已標(biāo)記為完成。這是為了確保您不會在無意當(dāng)中更改某些 ASA 默認(rèn)值。例如，內(nèi)部接口的默認(rèn)名稱為“inside”，不得更改。點擊?Check Results（檢查結(jié)果），看看哪些考試項已評分為正確。

步驟 1：驗證連接。

當(dāng)前未配置 ASA。但是，所有路由器、 PC 和 DMZ 服務(wù)器均已配置。驗證 PC-C 可以 ping 通任何路由器接口。PC C 無法 ping 通 ASA、PC-B 或 DMZ 服務(wù)器。

步驟 2：確定 ASA 版本、接口和許可證。

使用?show version?命令確定此 ASA 設(shè)備的各個方面。

步驟 3：確定文件系統(tǒng)和閃存的內(nèi)容。

a.?????進(jìn)入特權(quán) EXEC 模式。密碼尚未設(shè)置。提示輸入密碼時，按?Enter?。

b.?????使用?show file system?命令以顯示 ASA 文件系統(tǒng)并確定支持哪些前綴。

c.?????使用?show flash:?或?show disk0:?命令可顯示閃存的內(nèi)容。

第 2 部分：使用 CLI 導(dǎo)配置 ASA 設(shè)置和接口安全性

提示：：許多 ASA CLI 命令與思科 IOS CLI 中使用的命令類似（如果不完全相同）。此外，在配置模式和子模式之間移動的過程基本是相同的。

步驟 1：配置主機(jī)名和域名。

a.?????將 ASA 主機(jī)名配置為?CCNAS-ASA。

ciscoasa(config)#hostname CCNAS-ASA

b.?????將域名配置為?ccnasecurity.com。

CCNAS-ASA(config)#domain-name ccnasecurity.com

步驟 2：配置啟用模式密碼。

使用?enable password?命令，將特權(quán) EXEC 模式的密碼更改為?ciscoenpa55。

CCNAS-ASA(config)#enable password ciscoenpa55

步驟 3：設(shè)置日期和時間。

使用?clock set?命令手動設(shè)置日期和時間（此步驟不計分）。

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

步驟 4：配置內(nèi)部和外部接口。

此時只能配置 VLAN 1（內(nèi)部）和 VLAN 2 （外部）接口。將在本練習(xí)的第 5 部分中配置 VLAN 3 (dmz) 接口。

a.?????配置內(nèi)部網(wǎng)絡(luò) (192.168.1.0/24) 的邏輯 VLAN 1 接口，將安全級別設(shè)為最高設(shè)置值 100。

CCNAS-ASA(config)#?interface vlan 1?

CCNAS-ASA(config-if)#?nameif inside

CCNAS-ASA(config-if)#?ip address 192.168.1.1 255.255.255.0

CCNAS-ASA(config-if)#?security-level 100

b.?????配置外部網(wǎng)絡(luò) (209.165.200.224/29) 的邏輯 VLAN 2 接口，將安全級別設(shè)為最低設(shè)置值 0，并啟用 VLAN 2 接口。

CCNAS-ASA(config-if)#?interface vlan 2

CCNAS-ASA(config-if)#?nameif outside

CCNAS-ASA(config-if)#?ip address 209.165.200.226 255.255.255.248

CCNAS-ASA(config-if)#?security-level 0

c.?????使用以下驗證命令檢查您的配置：

1)?????使用?命令可顯示所有 ASA 接口的狀態(tài)。注意：此命令不同于 IOS 命令?show ip interface brief。如果有任何物理或邏輯接口之前未配置為 up/up，請根據(jù)需要進(jìn)行故障排除，然后再繼續(xù)進(jìn)行其他操作。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

提示：大多數(shù) ASA?show?命令，包括?ping、copy?等等，可以從任何配置模式提示符發(fā)出，而無需使用?do?命令。

?????使用?show ip address?命令顯示第 3 層 VLAN 接口的信息。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????使用?show switch vlan?命令可顯示 ASA 上配置的內(nèi)部和外部 VLAN，還可顯示分配的端口。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

步驟 5：測試與 ASA 的連接。

?????您應(yīng)能夠從 PC-B ping 通 ASA 內(nèi)部接口地址 (192.168.1.1)。如果 ping 操作失敗，請根據(jù)需要對配置進(jìn)行故障排除。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????從 PC-B ping 通 IP 地址為 209.165.200.226 的 VLAN 2（外部）接口。您應(yīng)該無法 ping 通此地址。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

第 3 部分：使用 CLI 配置路由、地址轉(zhuǎn)換和檢查策略

步驟 1：配置 ASA 的靜態(tài)默認(rèn)路由。

在 ASA 外部接口上配置默認(rèn)靜態(tài)路由，使 ASA 能夠到達(dá)外部網(wǎng)絡(luò)。

a.?????使用?route?命令創(chuàng)建“全零”默認(rèn)路由，將其與 ASA 外部接口關(guān)聯(lián)，并指向 R1 G0/0 IP 地址 (209.165.200.225) 作為最后選用網(wǎng)關(guān)。

CCNAS-ASA(config)#?route outside 0.0.0.0 0.0.0.0 209.165.200.225

?????發(fā)出?show route?命令已驗證該靜態(tài)默認(rèn)路由是否在 ASA 路由表中。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????驗證 ASA 是否能 ping 通 R1 S0/0/0 IP 地址 10.1.1.1。如果 ping 操作不成功，請根據(jù)需要進(jìn)行故障排除。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

步驟 2：使用 PAT 和網(wǎng)絡(luò)對象配置地址轉(zhuǎn)換。

a.?????創(chuàng)建網(wǎng)絡(luò)對象?inside-net，并使用?subnet?和?nat?命令向其分配屬性。

CCNAS-ASA(config)#?object network inside-net

CCNAS-ASA(config-network-object)#?subnet 192.168.1.0 255.255.255.0

CCNAS-ASA(config-network-object)#?nat (inside,outside) dynamic interface

CCNAS-ASA(config-network-object)#?end

b.?????ASA將配置拆分為定義要轉(zhuǎn)換的網(wǎng)絡(luò)的對象部分和實際的?nat?命令參數(shù)。它們出現(xiàn)在運(yùn)行配置中的兩個不同位置。使用?show run?命令顯示 NAT 對象配置。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

c.?????從 PC-B 嘗試 ping 通 IP 地址為 209.165.200.225 的 R1 G0/0 接口。 ping 操作應(yīng)該會失敗。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????在 ASA 上發(fā)出?show nat?命令，查看已轉(zhuǎn)換和未轉(zhuǎn)換的命中數(shù)。請注意，在從 PC-B 發(fā)出的 ping 請求中，有四個請求已轉(zhuǎn)換，還有四個未轉(zhuǎn)換。傳出 ping（回應(yīng)）已轉(zhuǎn)換且已發(fā)送至目的地。防火墻策略阻止了返回回應(yīng)應(yīng)答。在練習(xí)這一部分的步驟 3 中，您將配置默認(rèn)檢查策略以允許 ICMP。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

步驟 3：修改默認(rèn) MPF 應(yīng)用檢查全局服務(wù)策略。

對于應(yīng)用層檢查和其他高級選項，可在 ASA 上使用思科 MPF。

Packet Tracer ASA 設(shè)備默認(rèn)情況下沒有實施 MPF 策略映射。作為修改，我們可以創(chuàng)建默認(rèn)的策略映射，用于檢查內(nèi)部到外部的流量。正確配置后，只允許從內(nèi)部發(fā)起的流量回到外部接口。您需要將 ICMP 添加到檢查列表中。

a.?????創(chuàng)建類映射、策略映射和服務(wù)映射。使用以下命令將 ICMP 流量檢查添加到策略映射列表：

CCNAS-ASA(config)#?class-map inspection_default

CCNAS-ASA(config-cmap)#?match default-inspection-traffic

CCNAS-ASA(config-cmap)#?exit

CCNAS-ASA(config)#?policy-map global_policy

CCNAS-ASA(config-pmap)#?class inspection_default

CCNAS-ASA(config-pmap-c)#?inspect icmp

CCNAS-ASA(config-pmap-c)#?exit

CCNAS-ASA(config)#?service-policy global_policy global

b.?????從 PC-B 嘗試 ping 通 IP 地址為 209.165.200.225 的 R1 G0/0 接口。 ping 操作應(yīng)當(dāng)會成功，因為現(xiàn)在正在檢查 ICMP 流量并允許合法返回的流量。如果 ping 失敗，請對配置進(jìn)行故障排除。

第 4 部分：配置 DHCP、 AAA 和 SSH

步驟 1：將 ASA 配置為 DHCP 服務(wù)器。

a.?????配置 DHCP 地址池并在 ASA 內(nèi)部接口上啟用它。

CCNAS-ASA(config)#?dhcpd address 192.168.1.5-192.168.1.36 inside

b.?????（可選）指定提供給客戶端的 DNS 服務(wù)器的 IP 地址。

CCNAS-ASA(config)#?dhcpd dns 209.165.201.2 interface inside

c.?????在 ASA 內(nèi)啟用 DHCP 后臺守護(hù)程序，以在啟用的接口（內(nèi)部）上偵聽 DHCP 客戶端請求。

CCNAS-ASA(config)#?dhcpd enable inside

d.?????將 PC-B 從靜態(tài) IP 地址更改為 DHCP 客戶端，并驗證是否接收到 IP 尋址信息。根據(jù)需要排除故障，以解決任何問題。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

步驟 2：將 AAA 配置為使用本地數(shù)據(jù)庫進(jìn)行認(rèn)證。

a.?????輸入?username?命令以定義名為?admin?的本地用戶。指定密碼?adminpa55。

CCNAS-ASA(config)#?username admin password adminpa55

b.?????將 AAA 配置為使用本地 ASA 數(shù)據(jù)庫進(jìn)行 SSH 用戶認(rèn)證。

CCNAS-ASA(config)#?aaa authentication ssh console LOCAL

步驟 3：配置對 ASA 的遠(yuǎn)程訪問。

可以將 ASA 配置為接受來自內(nèi)部或外部網(wǎng)絡(luò)上的單臺主機(jī)或一系列主機(jī)的連接。在此步驟中，來自外部網(wǎng)絡(luò)的主機(jī)只能使用 SSH 與 ASA 進(jìn)行通信。 SSH 會話可用于從內(nèi)部網(wǎng)絡(luò)訪問 ASA。

a.?????生成 RSA 密鑰對，這是支持 SSH 連接所必需的。由于 ASA 設(shè)備已經(jīng)設(shè)置了 RSA 密鑰，因此可在系統(tǒng)提示更換密碼時輸入?no。

CCNAS-ASA(config)#?crypto key generate rsa modulus 1024

警告：您已經(jīng)定義了名為?的 RSA 密鑰對。

Do you really want to replace them? [yes/no]:?no

ERROR: Failed to create new RSA keys named

b.?????配置 ASA 以允許來自內(nèi)部網(wǎng)絡(luò) (192.168.1.0/24) 上的任何主機(jī)的 SSH 連接，以及來自外部網(wǎng)絡(luò)上的分支機(jī)構(gòu) (172.16.3.3) 的遠(yuǎn)程管理主機(jī)的 SSH 連接。將 SSH 超時設(shè)置為 10 分鐘（默認(rèn)值為 5 分鐘）。

CCNAS-ASA(config)#?ssh 192.168.1.0 255.255.255.0 inside

CCNAS-ASA(config)#?ssh 172.16.3.3 255.255.255.255 outside

CCNAS-ASA(config)#?ssh timeout 10

c.?????建立從 PC-C 到 ASA (209.165.200.226) 的 SSH 會話。如果不成功，請進(jìn)行故障排除。

PC>?ssh -l admin 209.165.200.226

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

d.?????建立從 PC-B 到 ASA (192.168.1.1) 的 SSH 會話。如果不成功，請進(jìn)行故障排除。

PC>?ssh -l admin?192.168.1.1? Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

第 5 部分：配置 DMZ、靜態(tài) NAT 和 ACL

R1 G0/0 和 ASA 外部接口已分別使用 209.165.200.225 和 .226。您將使用公共地址 209.165.200.227 和靜態(tài) NAT 來提供對服務(wù)器的地址轉(zhuǎn)換訪問。

步驟 1：在 ASA 上配置 DMZ 接口 VLAN 3。

a.?????配置 DMZ VLAN 3，這是公共訪問 Web 服務(wù)器所在的位置。向其分配 IP 地址 192.168.2.1/24，命名為?dmz，然后向其分配安全級別 70。由于服務(wù)器不需要發(fā)起與內(nèi)部用戶的通信，因此禁用向接口 VLAN 1 執(zhí)行的轉(zhuǎn)發(fā)。

CCNAS-ASA(config)#?interface vlan 3

CCNAS-ASA(config-if)#?ip address 192.168.2.1 255.255.255.0

CCNAS-ASA(config-if)#?no forward interface vlan 1

CCNAS-ASA(config-if)#?nameif dmz

INFO: Security level for "dmz" set to 0 by default.

CCNAS-ASA(config-if)#?security-level 70

b.?????將 ASA 物理接口 E0/2 分配給 DMZ VLAN 3 并啟用該接口。

CCNAS-ASA(config-if)#?interface Ethernet0/2

CCNAS-ASA(config-if)#?switchport access vlan 3

c.?????使用以下驗證命令檢查您的配置：

1)?????使用?show interface ip brief?命令可顯示所有 ASA 接口的狀態(tài)。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????使用?show ip address?命令顯示第 3 層 VLAN 接口的信息。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

?????使用?show switch vlan?命令可顯示 ASA 上配置的內(nèi)部和外部 VLAN ，還可顯示分配的端口。

Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻

步驟 2：使用網(wǎng)絡(luò)對象配置 DMZ 服務(wù)器的靜態(tài) NAT。

配置名為?dmz-server?的網(wǎng)絡(luò)對象并向其分配 DMZ 服務(wù)器的靜態(tài) IP 地址 (192.168.2.3)。在對象定義模式下，使用?nat?命令指定此對象用于使用靜態(tài) NAT 將 DMZ 地址轉(zhuǎn)換為外部地址，并指定公共轉(zhuǎn)換地址 209.165.200.227。

CCNAS-ASA(config)#?object network dmz-server

CCNAS-ASA(config-network-object)#?host 192.168.2.3

CCNAS-ASA(config-network-object)#?nat (dmz,outside) static 209.165.200.227

CCNAS-ASA(config-network-object)#?exit

步驟 3：配置 ACL 以允許從互聯(lián)網(wǎng)訪問 DMZ 服務(wù)器。

配置名為?OUTSIDE-DMZ?的訪問列表，允許從任何外部主機(jī)到 DMZ 服務(wù)器的內(nèi)部 IP 地址的 TCP 協(xié)議。將該訪問列表應(yīng)用于“IN”方向的 ASA 外部接口。

CCNAS-ASA(config)#?access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3

CCNAS-ASA(config)#?access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80

CCNAS-ASA(config)#?access-group OUTSIDE-DMZ in interface outside

注意：與 IOS ACL 不同，ASA ACL 允許語句必須允許訪問內(nèi)部專用 DMZ 地址。外部主機(jī)使用其公共靜態(tài) NAT 地址訪問服務(wù)器，ASA 將其轉(zhuǎn)換為內(nèi)部主機(jī) IP 地址，然后應(yīng)用 ACL。

步驟 4：測試對 DMZ 服務(wù)器的訪問。

創(chuàng)建此 Packet Tracer 練習(xí)時，無法成功測試對 DMZ Web 服務(wù)器的外部訪問。因此，不要求一定取得成功的測試結(jié)果。

步驟 5：檢查結(jié)果。

完成比例應(yīng)為 100%。點擊?Check Results（檢查結(jié)果）以查看反饋并驗證已完成的所需組件。

實驗具體步驟：

CCNAS-ASA：

ciscoasa>enable

Password:

ciscoasa#conf t

ciscoasa(config)#hostname CCNAS-ASA

CCNAS-ASA(config)#domain-name ccnasecurity.com

CCNAS-ASA(config)#enable password ciscoenpa55

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

CCNAS-ASA(config)#interface vlan 1

CCNAS-ASA(config-if)#nameif inside

CCNAS-ASA(config-if)#ip address 192.168.1.1 255.255.255.0

CCNAS-ASA(config-if)#security-level 100

CCNAS-ASA(config-if)#interface vlan 2

CCNAS-ASA(config-if)#nameif outside

CCNAS-ASA(config-if)#ip address 209.165.200.226 255.255.255.248

CCNAS-ASA(config-if)#security-level 0

CCNAS-ASA(config-if)#exit

CCNAS-ASA(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225

CCNAS-ASA(config)#object network inside-net

CCNAS-ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0

CCNAS-ASA(config-network-object)#nat (inside,outside) dynamic interface

CCNAS-ASA(config-network-object)#exit

CCNAS-ASA#conf t

CCNAS-ASA(config)#class-map inspection_default

CCNAS-ASA(config-cmap)#match default-inspection-traffic

CCNAS-ASA(config-cmap)#exit

CCNAS-ASA(config)#policy-map global_policy

CCNAS-ASA(config-pmap)#class inspection_default

CCNAS-ASA(config-pmap-c)#inspect icmp

CCNAS-ASA(config-pmap-c)#exit

CCNAS-ASA(config)#service-policy global_policy global

CCNAS-ASA(config)#dhcpd address 192.168.1.5-192.168.1.36 inside

CCNAS-ASA(config)#dhcpd dns 209.165.201.2 interface inside

CCNAS-ASA(config)#dhcpd enable inside

CCNAS-ASA(config)#dhcpd auto_config inside

CCNAS-ASA(config)#username admin password adminpa55

CCNAS-ASA(config)#aaa authentication ssh console LOCAL

CCNAS-ASA(config)#crypto key generate rsa modulus 1024

WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.



Do you really want to replace them? [yes/no]: no

ERROR: Failed to create new RSA keys named <Default-RSA-Key>

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside

CCNAS-ASA(config)#ssh 172.16.3.3 255.255.255.255 outside

CCNAS-ASA(config)#ssh timeout 10

CCNAS-ASA(config)#interface vlan 3

CCNAS-ASA(config-if)#ip address 192.168.2.1 255.255.255.0

CCNAS-ASA(config-if)#no forward interface vlan 1

CCNAS-ASA(config-if)#nameif dmz

INFO: Security level for "dmz" set to 0 by default.

CCNAS-ASA(config-if)#security-level 70

CCNAS-ASA(config-if)#interface Ethernet0/2

CCNAS-ASA(config-if)#switchport access vlan 3

CCNAS-ASA(config-if)#exit

CCNAS-ASA(config)#object network dmz-server

CCNAS-ASA(config-network-object)#host 192.168.2.3

CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227

CCNAS-ASA(config-network-object)#exit

CCNAS-ASA#conf t

CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3

CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80

CCNAS-ASA(config)#access-group OUTSIDE-DMZ in interface outside

實驗?zāi)_本:

CCNAS-ASA：

enable

conf t

hostname CCNAS-ASA

domain-name ccnasecurity.com

enable password ciscoenpa55

clock set 21:42:25 May 11 2023

interface vlan 1

nameif inside

ip address 192.168.1.1 255.255.255.0

security-level 100

interface vlan 2

nameif outside

ip address 209.165.200.226 255.255.255.248

security-level 0

exit

route outside 0.0.0.0 0.0.0.0 209.165.200.225

object network inside-net

subnet 192.168.1.0 255.255.255.0

nat (inside,outside) dynamic interface

exit

conf t

class-map inspection_default

match default-inspection-traffic

exit

policy-map global_policy

class inspection_default

inspect icmp

exit

service-policy global_policy global

dhcpd address 192.168.1.5-192.168.1.36 inside

dhcpd dns 209.165.201.2 interface inside

dhcpd enable inside

dhcpd auto_config inside

username admin password adminpa55

aaa authentication ssh console LOCAL

crypto key generate rsa modulus 1024

no

ssh 192.168.1.0 255.255.255.0 inside

ssh 172.16.3.3 255.255.255.255 outside

ssh timeout 10

interface vlan 3

ip address 192.168.2.1 255.255.255.0

no forward interface vlan 1

nameif dmz

security-level 70

interface Ethernet0/2

switchport access vlan 3

exit

object network dmz-server

host 192.168.2.3

nat (dmz,outside) static 209.165.200.227

exit

conf t

access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3

access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80

access-group OUTSIDE-DMZ in interface outside

實驗鏈接：https://pan.baidu.com/s/1aXLYRUMBjha9n90Ivmg5aA?pwd=9311

提取碼：9311

--來自百度網(wǎng)盤超級會員V2的分享文章來源地址http://www.zghlxwxcb.cn/news/detail-487333.html

到了這里，關(guān)于Packet Tracer - 使用 CLI 配置 ASA 基本設(shè)置和防火墻的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！