请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】Cisco ASA 设备使用指南(第3版)

[复制链接]
发表于 2017-12-22 15:24:27 | 显示全部楼层
1.ASA 9.X 版本有哪些初始化配置呢?您有哪些优化建议?
初始化配置主要有密码、时间、内网IP地址及掩码、机器名、域名、管理设备IP地址等。我的建议是最好通过交互菜单形式进行配置,免得出现漏配的情况。

2.想要通过ASDM 管理ASA ,ASA需要进行哪些配置?Windows有什么兼容性配置才能正常登陆使用ASDM?
想要通过ASDM 管理ASA,管理员必须首先在ASA的本地Flash上安装ASDM软件的镜像文件。
Windows要能正常登陆使用ASDM,浏览器需要安装并启用了Java插件1.4(2)以上的。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2017-12-23 22:14:18 | 显示全部楼层
1.ASA 9.X 版本有哪些初始化配置呢?您有哪些优化建议?我来说说我的基本配置:

机器命名:hostname ASA5512

接口基本配置
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 200.xxx.xx.178 255.255.255.240
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0


object network inside-net
subnet 192.168.0.0 255.255.255.0    //只能内网网段

  nat (inside,outside) dynamic interface   //内网网段上网做NAT

crypto  key gen  rsa  mod   1024
aaa authentication ssh console LOCAL
ssh 0 0  inside       // 配置SSH 内网可以访问

http server enable    // 启用ASDM 访问
http 0.0.0.0 0.0.0.0 inside



route outside 0.0.0.0 0.0.0.0  200.xx.x.x   配置默认路由  (静态公网IP 的情况下)

username  XX  password XX   配置本地用户名密码

有了这些基本配置就能上网正常使用了

2.优化配置或者注意事项吧:
1.一般都是SSH ,不用Telnet了
2.SSH 可以指定内网IP host 或者网段来访问设备,设置访问限制,不让任何人都能访问
3.就算是相同的security  level 不通端口也有放通策略才能访问,默认不能访问
4.如果是PPPOE   建议mtu设置为1450  或者更低,不然会出问题
5.内网如果有服务器映射,记得安全策略之放通必要端口,不要为了方便全部放通,不安全


2.想要通过ASDM 管理ASA ,ASA需要进行哪些配置?Windows有什么兼容性配置才能正常登陆使用ASDM?

http  server enable  启用ASDM 访问
asdm image disk0:/asdm-614.bin   指定ASDM 文件


Windows的Java 需要比较新才兼容,如果没有就去java网站下载, 一般最好是自己去下载ASDM win软件,兼容性好,如果用web版本下载的需要浏览器兼容,也是比较麻烦的






  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2017-12-24 17:09:21 | 显示全部楼层
对了,很多情况下是pppoe  拨号配置,这里我也发一个pppoe 配置出来

hostname(config)# vpdn group group_name request dialout pppoe
hostname(config)# vpdn group group_name ppp authentication {chap | mschap | pap}
hostname(config)# vpdn group group_name localname username
hostname(config)# vpdn username username password password [store-local]


Step 1

Enable the PPPoE client by entering the following command from interface configuration mode:
hostname(config-if)# ip address pppoe [setroute]


hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ip address pppoe
Step 2
Specify a VPDN group for the PPPoE client to use with the following command from interface configuration mode (optional):
hostname(config-if)# pppoe client vpdn group grpname


mtu outside 1452
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
 楼主| 发表于 2017-12-25 16:24:49 | 显示全部楼层
分享 几页纸ASA 这本书的拍照,大家看看是否适合s自己s,适合的可以入手一本 哦


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
 楼主| 发表于 2017-12-25 16:39:15 | 显示全部楼层

来一个密码恢复的截图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (4 评价)
发表于 2017-12-25 20:45:42 | 显示全部楼层
3.新旧版本ASA 的数据转发有什么变化?一有了地址对象,和地址组的概念,并且可以嵌套,
二是有Twice NAT的概念,旧版NAT 0 被 Twice NAT取代;



4.一对一映射,内部服务器IP 端口映射如何配置?新旧版本的NAT 有什么区别?

同样是基于object来配置,同时要注意配置对应的ACL,放通从外向内对应的端口;
配置举例:把DMZ区的IP192.168.200.201 80端口映射到公网出口接口上
ASA(config)#object network WWW
ASA(config -network-object)# host 192.168.200.201
ASA(config -network-object)#nat (dmz,outside) static interface serivce tcp www www
ASA(config -network-object)#exit
ASA(config)#access-list WWW extened permit tcp any host 192.168.200.201 eq www
ASA(config)#access-group WWW in interface outside


5.静态路由如何实现监控检测?ASA配置SLA 有哪些常用检测方式?

静态路由可以跟RTR的配置,或者换个说法,就叫IP SLA,常用检测方式可基于ICMP/TCP/UDP等;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-26 13:37:09 | 显示全部楼层
1、现在日常企业网络的NAT一般都会部署在防火墙上,而不是出口路由器CE上吗?

2、如果NAT在防火墙上的话,如果不是用语音网关或者运营商接口非电口的情况下就可以不买路由器了?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2017-12-26 14:44:54 | 显示全部楼层
qwqwqwtang 发表于 2017-12-26 13:37
1、现在日常企业网络的NAT一般都会部署在防火墙上,而不是出口路由器CE上吗?

2、如果NAT在防火墙上的话 ...

企业现在很少再用路由器做为互联网出口,通常都是防火墙,而路由器主要用来解决非IP的协议转换问题,比如2M线(串口)。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2017-12-26 16:46:14 | 显示全部楼层
3.新旧版本ASA的数据转发有什么变化?
只有Cisco ASDM 6.2支持IPv6 ACL。如果使用此前的版本,那么就只能通过CLI界面来创建IPv6 ACL。

4.一对一映射,内部服务器IP端口映射如何配置?新旧版本的NAT有什么区别?
在ASDM中找到Configuration>Firewall>NAT Rules>Add >Add Static NAT Rule,然后在ASDM新打开的窗口中指定转换 前的地址及转换后的地址。选择Enable Port Address Translation(PAT)选项并指定Protocol、Original Port和Tranlated Port。

在8.0版本之前,透明模式不支持地址转换技术。在8.0之前的版本中,nat和static命令在透明模式中只能用来设置半开连接及连接数限制。

5.静态路由如何实现监控检测?ASA配置SLA有哪些常用检测方式?
Cisco ASA可以将静态路由和管理员定义的监测目标相关联。它会使用ICMP echo请求消息来对目标进行监测。如果在特定时间段中没有收到echo reply,那么该目标就会被设备看作失效条目,并且被移除出路由表。

ASA配置SLA的常用检测方式有:Frequency(频率)、Threshold(门限)、Timeout(超时)、Data Size、ToS、Number of Packets。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2017-12-27 10:51:22 | 显示全部楼层
学习了~~~~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-19 23:44 , Processed in 0.091982 second(s), 52 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表