我需要一些帮助来为我们的 ASA5505 开发配置。我是 MCSA/MCITPAS,但我没有很多实际的思科经验。
我需要帮助的地方是,我们目前有一个 PIX 作为边界网关,但它已经过时了,只有 50 个用户的许可证,这意味着我整天都在不断清除本地主机,因为人们抱怨。我发现上一个 IT 人员买了几台 ASA5505,它们一直放在橱柜后面。
到目前为止,我已经将配置从 PIX 复制到 ASA,但我想更进一步,删除另一个仅用于访客网络的旧 Cisco 路由器。我知道 ASA 可以同时完成这两项工作。
因此我将粘贴我写的一个场景,其中实际 IP 已被更改以保护无辜者。
...
外部网络:1.2.3.10 255.255.255.248(我们有一个/29)
内部网络:10.10.36.0 255.255.252.0
DMZ 网络:192.168.15.0 255.255.255.0
e0/0 上的外部网络
e0/1 上的 DMZ 网络
e0/2-7 上的内部网络
DMZ 网络已启用 DHCPD。DMZ
DHCPD 池为 192.168.15.50-192.168.15.250
DMZ 网络需要能够看到 10.10.37.11 和 10.10.37.12 的内部网络上的 DNS
DMZ 网络需要能够访问 10.10.37.15 的内部网络上的网络邮件 DMZ
网络需要能够访问 10.10.37.17 的内部网络上的商业网站
DMZ 网络需要能够访问外部网络(访问互联网)。
内部网络没有 DHCPD。(DHCP 由域控制器处理)
内部网络需要能够看到 DMZ 网络上的任何内容。
内部网络需要能够访问外部网络(访问互联网)。
已经存在一些访问列表,并且已经存在一些静态 NAT 映射。
将外部 IP 从我们的 ISP 映射到我们的内部服务器 IP
static (inside,outside) 1.2.3.11 10.10.37.15 netmask 255.255.255.255
static (inside,outside) 1.2.3.12 10.10.37.17 netmask 255.255.255.255
static (inside,outside) 1.2.3.13 10.10.37.20 netmask 255.255.255.255
允许从外部访问我们的 Web 服务器/邮件服务器/VPN。
access-list 108 permit tcp any host 1.2.3.11 eq https
access-list 108 permit tcp any host 1.2.3.11 eq smtp
access-list 108 permit tcp any host 1.2.3.11 eq 993
access-list 108 permit tcp any host 1.2.3.11 eq 465
access-list 108 permit tcp any host 1.2.3.12 eq www
access-list 108 permit tcp any host 1.2.3.12 eq https
access-list 108 permit tcp any host 1.2.3.13 eq pptp
这是我目前拥有的所有 NAT 和路由信息。
global (outside) 1 interface
global (outside) 2 1.2.3.11-1.2.3.14 netmask 255.255.255.248
nat (inside) 1 0.0.0.0 0.0.0.0
nat (dmz) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 1.2.3.9 1
答案1
您没有提到您正在运行哪个版本,但根据您的 NAT 命令判断它是 8.2 或更低版本。我有一些示例配置,应该可以让 DHCP 在 DMZ 上工作,并从 DMZ 访问您的 LAN DNS、内部网站和互联网网络。如果需要,您可以将其用作添加更多内容的指南。您不需要更改路由,因为这些都是直接连接的网络。
这应该是 DHCP 配置所需的全部内容
dhcpd dns 10.10.37.11 10.10.37.12
dhcpd domain example.com
dhcpd address 192.168.15.50-192.168.15.250 DMZ
dhcpd enable DMZ
允许流量到达 DMZ 接口的访问列表。包括到 LAN 的 DNS 流量
access-list DMZ-Access_in extended permit UDP any host 192.168.15.50 eq 53
access-list DMZ-Access_in extended permit UDP any host 192.168.15.250 eq 53
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 80
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 443
access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 80
access-list DMZ-Access_in extended permit TCP any any eq 80
access-list DMZ-Access_in extended permit TCP any any eq 443
将访问列表应用到 DMZ 接口。
access-group DMZ-Access_in in interface DMZ
还要检查您是否拥有 Security Plus 许可证,因为在 5505 上,DMZ 受到限制,
Show version
编辑:
回答你的问题:使用基本许可证,你将无法做你想做的事。受限 dmz 意味着你必须选择一个 dmz 无法与之通信的 vlan。它可以是 Lan 或外部。
是的,内部、外部和 dmz 算作三个 VLAN,5505 的运行方式类似于第 3 层交换机,其中 VLAN 应用于交换机端口。所有其他 asa 都使用第 3 层路由端口,您可以将它们划分为子接口并将中继连接到它们。
Sec plus 价格有点高,但从 pix 转到 asa 还是值得的。asa 要好得多,而且有一个很好的 gui,可以让你轻松进行更改。