要求:
DMZ发布Web服务器,Client2可以访问Server3
使用命令show conn detail查看Conn表
分别查看ASA和AR的路由表
配置ACL禁止Client3访问Server2
配置步骤及思路:
一.给客户端和服务器配置ip
server1:
ip: 10.1.1.1
子网掩码:255.255.255.0
网关:10.1.1.254
Client1:
ip: 10.2.2.1
子网掩码:255.255.255.0
网关:10.2.2.254
server2:
ip: 192.168.8.100
子网掩码:255.255.255.0
网关:192.168.8.254
Client2:
ip: 192.168.8.1
子网掩码:255.255.255.0
网关:192.168.8.254
server3:
ip: 192.168.30.100
子网掩码:255.255.255.0
网关:192.168.3.254
Client3:
ip: 192.168.30.1
子网掩码:255.255.255.0
网关:192.168.30.254
二.在防火墙上配置区域
interface g0 进入端口
nameif inside 配置接口的名称
ip address 192.168.1.254 255..255.255.0 配置网关
security-level 100 配置接口的安全级别(范围是0-100)
interface g1 进入端口
nameif outside 配置接口的名称
ip address 192.168.8.254 255..255.255.0 配置网关
security-level 0 配置接口的安全级别(范围是0-100)
interface g2 进入端口
nameif dmz 配置接口的名称
ip address 192.168.30.254 255..255.255.0 配置网关
security-level 50 配置接口的安全级别(范围是0-100)
写一条acl使Client2可以访问Server3
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 默认防火墙的内网安全等级为100 ,外网为0 .等级低的无法访问高级的所以要配置acl允许访问
验证,测试:
三.配置可以去外网的路由
interface g0/0/0 进入端口
ip address 10.1.1.254 255.255.255.0 配置网关
interface g0/0/1 进入端口
ip address 10.2.2.254 255.255.255.0 配置网关
interface g0/0/2 进入端口
ip address 192.168.1.1 255.255.255.0 配置ip
interface g0/0/2属于192.168.1.0/24网段所以配置一个192.168.1.0网段的ip
在路由器上配置一条默认路由交给下一跳192.168.1.254‘
ip route 0.0.0.0 0.0.0.0 192.168.1.254
在防火墙上配置回包路由交给下一跳192.168.1.1
route inside 10.1.1.0 255.255.255.0 192.168.1.1 要去的网段
route inside 10.2.2.0 255.255.255.0 192.168.1.1 要去的网段
display ip route table 查看路由表
show route 查看asa防火墙
验证,测试
如下图可以访问外网ftp
# 接下来可以查看 conn表
show conn detail
三.# 最后配置acl使clietn 2不能访问server1
access-list 2(名字) deny tcp any host 192.168.8.100 eq 80
access-group 2(名字) in interface DMAZ //在dmaz端口调用
测试:
