环境拓扑:
配置需求:
u 基本配置
u 内网telnet访问,外网ssh访问
u 双出口路由方案
u 内网用户访问公网映射与策略
u 外网用户访问DMZ区域映射与策略
u 配置log日志记录
基本配置
配置主机名
hostname ciscoasa
配置接口nameif 安全级别 IP地址
interface Ethernet0/0
nameif liantong
security-level 0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/1
nameif dianxin
security-level 0
ip address 1.1.1.2 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/3
nameif trust
security-level 100
ip address 192.168.1.1 255.255.255.0
内网telnet访问,外网ssh访问
内网telnet访问
telnet 192.168.1.0 0.0.0.255 trust //trust为接口的nameif
username cisco password cisco
aaa authentication telnet console LOCAL
外网ssh访问
crypto key generate rsa
username cisco password cisco
ssh 0.0.0.0 0.0.0.0 dianxin
ssh 0.0.0.0 0.0.0.0 liantong
aaa authentication ssh console LOCAL
双出口路由方案
目前,双出口路由最简单也是最容易实现的就是一个运营商写完整路由,另外一个写一条默认路由.
route liantong 0.0.0.0 0.0.0.0 2.2.2.1
route dianxin 1.192.0.0 255.252.0.0 1.1.1.1
路由表可以在http://liubaishui.com/下载到,然后用ultraedit格式化成需要的格式,然后刷进路由器.
内网用户访问公网映射与策略
global (liantong) 1 interface
global (dianxin) 1 interface
nat (trust) 1 192.168.1.0 255.255.255.0
外网用户访问DMZ区域映射与策略
配置nat映射
static (trust,liantong) tcp interface 80 192.168.0.280 netmask 255.255.255.255
static (trust,dianxin) tcp interface 80 192.168.0.280 netmask 255.255.255.255
接口 端口 trust接口区域的主机地址
配置访问控制列表
access-list liantongtotrust extended permit tcp any host 2.2.2.2 eq 80
access-list dianxintotrust extended permit tcp any host 1.1.1.2 eq 80
列表名称 扩展的 允许 协议 任何地址 到主机1.1.1.2的80端口
在相应接口上应用列表
access-group liantongtotrust in interface liantong
access-group dianxintotrust in interface dianxin
配置log日志记录
logging enable
logging buffer-size 40960
logging buffered informational
logging trap informational