说到思科的东西,我有点儿像个白痴。我通常能搞清楚大多数防火墙,并了解网络掩码、IP 寻址、DMZ、NAT 等。但不知为何,我就是搞不懂思科 ASA。CLI 和 ASDM 都搞不懂。
长话短说,我正在寻找一个好的网站或可以向我提供带有注释的基本配置文件的人,以便我能够理解它。
是的,我已经尝试过 RTFM。
非常感谢大家。
答案1
我理解你的痛苦,研究和实践将是你最好的朋友。以下是我处理思科设备的一些书签:
- 揭秘 Cisco ASA:
http://episteme.arstechnica.com/eve/forums/a/tpc/f/469092836/m/447004091931 - 配置 Cisco ASA 的 8 个基本命令:
http://blog.soundtraining.net/2008/04/eight-basic-commands-to-configure-cisco.html - 访问列表的剖析:
http://i.cmpnet.com/nc/907/graphics/access.pdf - 思科‘实践培训’播客:(大量有关 Cisco CLI 的免费视频 - 强烈推荐!)
http://ciscohandsontraining.com/
祝你好运!
答案2
我是前面提到的文章“配置 Cisco ASA 的 8 个基本命令”的作者。当 Cisco 在 2010 年春季更改 PAT/NAT 配置时,其中一些命令已过时。我已在以下网址更新了这篇文章:http://blog.soundtraining.net/2010/11/understanding-eight-basic-commands-on.html. 希望有帮助。
答案3
你想做什么?
我可能有权访问 ASA,但如果不知道你要实现什么目的,我就无法猜测哪些配置可能相关
答案4
从这里:
本文将介绍有关 Cisco ASA 防火墙的基本知识。我在此为您提供 Cisco ASA 5510 安全设备的基本配置教程。此设备是 ASA 系列(ASA 5505、5510、5520 等)中的第二款型号,由于适用于中小型企业,因此非常受欢迎。与最小的 ASA 5505 型号一样,5510 也提供两种许可证选项:基本许可证和 Security Plus 许可证。第二种许可证(security plus)在基本许可证的基础上提供了一些性能和硬件增强功能,例如 130,000 个最大防火墙连接(而不是 50,000 个)、100 个最大 VLAN(而不是 50 个)、故障转移冗余等。此外,security plus 许可证使五个防火墙网络端口中的两个可以作为 10/100/1000 工作,而不仅仅是 10/100。
接下来,我们将看到一个简单的 Internet 访问场景,这将帮助我们了解设置 ASA 5510 所需的基本步骤。假设我们100.100.100.1
从 ISP 分配了一个静态公共 IP 地址。此外,内部 LAN 网络属于子网192.168.10.0/24.
接口Ethernet0/0
将连接到外部(朝向 ISP),并将Ethernet0/1
连接到内部 LAN 交换机。请参阅下图了解我们的示例场景。
替代文本http://www.cisco-tips.com/images/asa-5510-basic-configuration.jpg
防火墙将配置为动态提供 IP 地址(使用 DHCP)给内部主机。所有出站通信(从内部到外部)都将使用外部公共接口上的端口地址转换 (PAT) 进行转换。让我们看一下此基本场景所需的配置步骤片段:
步骤1: 配置特权级别密码(启用密码)
默认情况下,没有用于访问 ASA 防火墙的密码,因此在执行任何其他操作之前,第一步是配置特权级别密码,该密码是随后访问设备所必需的。在配置模式下配置此项:
ASA5510(config)# enable password mysecretpassword
第2步: 配置公共外部接口
ASA5510(config)# interface Ethernet0/0
ASA5510(config-if)# nameif outside
ASA5510(config-if)# security-level 0
ASA5510(config-if)# ip address 100.100.100.1 255.255.255.252
ASA5510(config-if)# no shut
步骤3: 配置可信内部接口
ASA5510(config)# interface Ethernet0/1
ASA5510(config-if)# nameif inside
ASA5510(config-if)# security-level 100
ASA5510(config-if)# ip address 192.168.10.1 255.255.255.0
ASA5510(config-if)# no shut
步骤4: 在外部接口上配置 PAT
ASA5510(config)# global (outside) 1 interface
ASA5510(config)# nat (inside) 1 0.0.0.0 0.0.0.0
步骤5: 配置到 ISP 的默认路由(假设默认网关是100.100.100.2
)
ASA5510(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
第 6 步: 配置防火墙以使用 DHCP 为主机分配内部 IP 和 DNS 地址
ASA5510(config)# dhcpd dns 200.200.200.10
ASA5510(config)# dhcpd address 192.168.10.10-192.168.10.200 inside
ASA5510(config)# dhcpd enable inside
上述基本配置只是使设备运行的开始。您需要实施更多配置功能来提高网络的安全性,例如静态和动态 NAT、用于控制流量的访问控制列表、DMZ 区域、VPN 等。我只是试图为您提供基本配置的起点,您可以从中进一步积累知识。