实验环境(如下拓扑图所示):
1.准备四台虚拟机,两台使用windows 2003系统,分别配置Web服务器和Out服务器,分别搭建站点
www.sjzz.com 和
www.out.com ,并在Out服务器上搭建DNS服务器,负责解析
www.sjzz.com(IP地址:200.1.1.253/29)和
www.out.com(IP地址:200.2.2.1)。PC1为内网客户机,使用windows XP系统,DNS服务器使用200.2.2.1。
2.使用
asa802-k8.bin 、
Qemu 、
qemuPCAP、
Linux模拟出一个ASA系统。
3.使用DynamipsGUI模拟一台路由器。
实验目的:
1.只能从PC1通过SSH访问ASA;
2.从PC1可以访问outside和DMZ区的网站,从Out主机可以访问Dmz区的Web站点。
3.从PC1可以ping通Out主机。
各设备IP地址分配如下:
PC1:192.168.0.88
ASA防火墙Inside接口:192.168.0.254/24
ASA防火墙Outside接口:200.0.0.2/30
ASA防火墙Dmz接口:192.168.1.254/24
ISP路由器F0/1:200.0.0.1/30
ISP路由器F0/0:200.2.2.254/24
Out服务器:200.2.2.1/24
Web服务器:192.168.1.1/24
各虚拟机网卡桥接如下:
ASA防火墙三块网卡:VMnet0、VMnet1、VMnet2
PC1网卡:VMnet0
Web服务器:VMnet2
Out服务器:VMnet8
DynamipsGUI模拟的路由器连接如下:
Router1 F0/0 <----> XPC P0/8
Router1 F1/0 <----> XPC P0/1
Router1 F1/0 <----> XPC P0/1
一.配置路由器ISP:
Router(config)#int f0/0
Router(config-if)#ip add 200.2.2.254 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f1/0
Router(config-if)#ip add 200.0.0.1 255.255.255.252
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#ip route 200.1.1.248 255.255.255.248 200.0.0.2
Router(config-if)#ip add 200.2.2.254 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f1/0
Router(config-if)#ip add 200.0.0.1 255.255.255.252
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#ip route 200.1.1.248 255.255.255.248 200.0.0.2
二.配置ASA设备:
配置主机名、域名、密码 (telnet或SSH时要使用)
ciscoasa(config)# hostname ASA
ASA(config)# domain-name asa.com
ASA(config)# enable password cisco
ASA(config)# passwd cisco
ASA(config)# domain-name asa.com
ASA(config)# enable password cisco
ASA(config)# passwd cisco
配置接口名、安全级别及IP地址
ASA(config)# int e0/0
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip add 192.168.0.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip add 200.0.0.2 255.255.255.252
ASA(config-if)# no sh
ASA(config-if)# int e0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# ip add 192.168.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0.0.0.0 0.0.0.0 200.0.0.1
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
ASA(config-if)# ip add 192.168.0.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# int e0/1
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
ASA(config-if)# ip add 200.0.0.2 255.255.255.252
ASA(config-if)# no sh
ASA(config-if)# int e0/2
ASA(config-if)# nameif dmz
ASA(config-if)# security-level 50
ASA(config-if)# ip add 192.168.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# route outside 0.0.0.0 0.0.0.0 200.0.0.1
配置SSH,允许192.168.0.88可以通过SSH方式访问ASA:
ASA(config)#crypto key generate rsa modulus 1024 //生成密钥对,默认长度为1024
ASA(config)# ssh 192.168.0.0 255.255.255.0 inside
ASA(config)# ssh time
ASA(config)# ssh timeout 30
ASA(config)# ssh version 2
ASA(config)# ssh timeout 30
ASA(config)# ssh version 2
允许内网主机PC1访问outside区和dmz区的网站的配置:
ASA(config)# nat-control
ASA(config)# nat (inside) 1 0 0
ASA(config)# global (outside) 1 int
ASA(config)# global (dmz) 1 192.168.1.100-192.168.1.110
允许外网Out主机访问dmz的Web服务器设置:
ASA(config)# static (dmz,outside) 200.1.1.253 192.168.1.1
ASA(config)# access-list out_to_dmz permit tcp any host 200.1.1.253 eq www
ASA(config)# access-group out_to_dmz in int outside
允许内网主机PC1ping外网out主机的设置:
ASA(config)# access-list 111 permit icmp any any echo-reply
ASA(config)# access-list 111 permit icmp any any unreachable
ASA(config)# access-list 111 permit icmp any any time-exceeded
ASA(config)# access-group 111 in int outside
ASA(config)# global (outside) 1 int
ASA(config)# global (dmz) 1 192.168.1.100-192.168.1.110
允许外网Out主机访问dmz的Web服务器设置:
ASA(config)# static (dmz,outside) 200.1.1.253 192.168.1.1
ASA(config)# access-list out_to_dmz permit tcp any host 200.1.1.253 eq www
ASA(config)# access-group out_to_dmz in int outside
允许内网主机PC1ping外网out主机的设置:
ASA(config)# access-list 111 permit icmp any any echo-reply
ASA(config)# access-list 111 permit icmp any any unreachable
ASA(config)# access-list 111 permit icmp any any time-exceeded
ASA(config)# access-group 111 in int outside
保存设置:
ASA(config)# write memory
或者
ASA(config)# copy running-config startup-config
配置总结:
1.从高安全级别(Inside)访问低安全级别(Outside),需要配置动态nat和global命令。
2.从低安全级接口访问高安全级别接口,必须配置ACL。
三.验证:
1.PC1(192.168.0.88)可以通过SSH方式访问ASA设备(使用工具为putty):
此时可以在ASA设备上通过show ssh session命令查看SSH会话:
2.PC1(192.168.0.88)访问dmz区和outside区的网站:
3.从Out主机上访问dmz区的Web网站:
此时可以在ASA设备使用show xlate命令查看地址转换条目:
4.使用PC1(192.168.0.88)ping outside区主机Out,默认清况下,ASA设备是禁止ICMP报文穿越的,但是在以上的配置中已经允许PC1可以ping Out主机,来验证一下:
在调试完毕后,通常情况下,还是禁止ICMP报文穿越ASA防火墙比较好,这样在一定程度上可以提高安全性。
本文转自 kk5234 51CTO博客,原文链接:http://blog.51cto.com/kk5234/408251,如需转载请自行联系原作者
