极品美女视频网站免费观看,超清美女视频

ASA 5505 從內(nèi)網(wǎng)訪問(wèn)DMZ區(qū)服務(wù)器

笑觀云卷云舒 >《cisco ASA防火墻配置》

2011.01.14

關(guān)注

一、實(shí)驗(yàn)?zāi)繕?biāo)

在這個(gè)實(shí)驗(yàn)中朋友你將要完成下列任務(wù)：

1．創(chuàng)建vlan

2．給vlan命名

3．給vlan分配IP

4．把接口加入到相應(yīng)的VLAN，并配置接口的速率、雙工（半工）

5．配置內(nèi)部轉(zhuǎn)化地址池（nat）外部轉(zhuǎn)換地址globla

6．配置WWW和FTP服務(wù)器

二、實(shí)驗(yàn)拓?fù)?/span>

三、實(shí)驗(yàn)過(guò)程

1. ASA 5505基本配置：

ciscoasa>

ciscoasa> enable

Password:

ciscoasa#

ciscoasa# configure terminal

ciscoasa(config)# interface vlan44 *建立ID為44的虛擬局域網(wǎng)（vlan）

ciscoasa(config-if)# nameif dmz *把vlan44的接口名稱配置為dmz

ciscoasa(config-if)# security-level 50 *配置dmz 安全級(jí)別為50

ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *給vlan44配置IP地址

ciscoasa(config-if)# interface vlan33 *建立ID為33的虛擬局域網(wǎng)（vlan）

ciscoasa(config-if)# nameif inside *把vla33的接口名稱配置為inside，并指定安全級(jí)別，安全級(jí)別取值范圍為1～100，數(shù)字越大安全級(jí)別越高。在默認(rèn)情況下，inside安全級(jí)別為100。

INFO: Security level for "inside" set to 100 by default.

ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *給vlan33配置IP地址

ciscoasa(config-if)# exit

ciscoasa(config)# interface ethernet0/2 *進(jìn)入e0/2接口的配置模式

ciscoasa(config-if)# switchport access vlan 44 *把e0/2接口劃分到vlan22中

ciscoasa(config-if)# speed auto *設(shè)置e0/2接口的速率為自動(dòng)協(xié)商

ciscoasa(config-if)# duplex auto *設(shè)置e0/2接口的工作模式為自動(dòng)協(xié)商

ciscoasa(config-if)# no shutdown *打開(kāi)e0/2接口

ciscoasa(config-if)# interface e0/0 *進(jìn)入e0/1接口的配置模式

ciscoasa(config-if)# switchport access vlan 33 *把e0/0接口劃分到vlan33中

ciscoasa(config-if)# speed auto *設(shè)置e0/0接口的速率為自動(dòng)協(xié)商

ciscoasa(config-if)# duplex auto *設(shè)置e0/0接口的工作模式為自動(dòng)協(xié)商

ciscoasa(config-if)# no shutdown *打開(kāi)e0/0接口

ciscoasa(config-if)# exit

ciscoasa(config)#

2. ASA 5505本身接口的連通性測(cè)試

①測(cè)試防火墻本身vlan44接口連通性

ciscoasa# ping 11.0.0.1

Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

②測(cè)試防火墻本身vlan33接口連通性

ciscoasa# ping 192.168.0.211

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:

!!!!!

3. 配置PC：

具體網(wǎng)絡(luò)參數(shù)如拓?fù)鋱D所示。

4 配置DMZ Server：

1) 具體網(wǎng)絡(luò)參數(shù)如拓?fù)鋱D所示；

2) 配置為WWW服務(wù)器和FTP服務(wù)器。

5. dmz區(qū)服務(wù)器和PC測(cè)試連通性：

①測(cè)試防火墻到dmz服務(wù)器的連通性

ciscoasa# ping 11.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

②測(cè)試防火墻到內(nèi)網(wǎng)PC的連通性

ciscoasa# ping 192.168.0.212

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.212, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

6. 設(shè)置內(nèi)部網(wǎng)絡(luò)inside到外部網(wǎng)絡(luò)outside的訪問(wèn)：

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0 *nat是地址轉(zhuǎn)換命令，將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip；用來(lái)定義那些主機(jī)需要進(jìn)行出站地址轉(zhuǎn)換。“nat (inside) 1 0.0.0.0 0.0.0.0” 表示內(nèi)網(wǎng)的所有主機(jī)(0 0)都可以訪問(wèn)由global指定的外網(wǎng)。

ciscoasa(config)# show running-config nat *查看防火墻的nat配置

nat (inside) 1 0.0.0.0 0.0.0.0 *nat配置信息

ciscoasa(config)# global (dmz) 1 interface *使用nat命令后，必須使用global命令定義用于轉(zhuǎn)換的IP地址范圍。“global (dmz) 1 interface”指定PAT使用dmz接口上的IP地址進(jìn)行出站轉(zhuǎn)換連接。