思科PIX ASA 配置总结

思科PIX ASA 配置总结

一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。

二：基本配置步骤：

step1: 命名接口名字 (7版本的配置是先进入接口再命名)

      nameif ethernet0 outside security0

      nameif ethernet1 inside security100

      nameif ethernet2 dmz security50

step2：配置接口速率

       interface ethernet0 10full auto

step3：配置接口地址(7版本的配置是先进入直接配置)。

         ip address inside 192.168.100.1 255.255.255.0

step4：地址转换（必须）

* 安全高的区域访问安全低的区域（即内部到外部）需NAT和global;

nat(inside) 1 192.168.1.1 255.255.255.0

global(outside) 1 222.240.254.193 255.255.255.248

――global (outside) 1 interface  （PAT）

nat (inside) 0 192.168.1.1 255.255.255.255 表示192.168.1.1这个地址不需要转换。直接转发出去。

* 如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和conduit或者acl.

static (inside, outside) 222.240.254.194 192.168.1.240

static (inside, outside) 222.240.254.194 192.168.1.240 10000 10

后面的10000为限制连接数，10为限制的半开连接数。

conduit permit tcp host 222.240.254.194 eq www any

•        ACL实现的功能和conduit一样都可实现策略访问，只是ACL稍微麻烦点。conduit现在在7版本已经不能用了。

Access-list 101 permit tcp any host 222.240.254.194 eq www

Access-group 101 in interface outside (绑定到接口)

＊＊＊允许任何地址到主机地址为222.240.254.194的www的tcp访问。

Step5：路由定义：

Route outside 0 0 222.240.254.193 1

Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1

 

＊＊如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

Step6：基础配置完成，保存配置。

Write memory write erase 清空配置Reload

实例：

nat (inside) 1 0 0

global (outside) 1 interface

static (inside,outside) tcp 220.165.45.159 www 172.17.16.25 www

access-list 101 extended permit tcp any host 192.168.1.1 eq telnet

access-group 101 in interface outside

配置PIX本地SSH（非AAA Authentication方式）：

domain-name rtp.cisco.com （这一句必须有生成密钥必须）

crypto key generate rsa general-keys modulus 1024 //生成rsa密钥非AAA认证必须

ssh 0.0.0.0 0.0.0.0 outside //配置访问接口及地址范围

ssh timeout 60         //配置ssh 延时

passwd cisco          //配置登陆pix使用的口令为cisco

wr mem不能保存关于rsa key的配置，可以使用 ca save all来保存关于rsa key

通过这种方式，我们不用为每一个需要登陆到pix的用户配置用户名，使用SSH客户端工具登陆pix的时候，默认的用户名为pix。

如果不希望使用pix作为ssh login的用户名，则需要下列配置

aaa authentication ssh console LOCAL

username cisco password cisco [encrypted privilege 15]

这样就可以使用用户名cisco来替代默认的pix.

路由器交换机本地SSH(基本同上) 启用SSH登录如下

　　ra(config)#ip ssh authentication 4  //设置ssh认证重复次数为4，可0-5之间

　　ra(config)#line vty 0 4           //进入vty模式

ra(config-line)#transport input ssh  //设置vty的登录模式为ssh，默认all

查看SSH

show crypto key mypubkey rsa (或show ca mypubkey rsa )//查看本地生成的公钥。

sh ssh session        //查看SSH会话。

crypto key zeroize rsa  //清除现存RSA KEY

配置PPPOE

vpdn group adsl request dialout pppoe

vpdn group adsl localname *******

vpdn group adsl ppp authentication pap

vpdn username gslr password *********

dhcpd auto_config outside