¿Alguien tiene instrucciones de configuración para el firewall de Cisco asa5510?
Configuración básica de CISCO ASA
ciscoasa#conf t Ingrese al modo global
ciscoasa(config)# nombre de host cisco naming
ciscoasa(config )# show running-config Ver configuración actual
ciscoasa(config)# show startup-config Ver configuración guardada
ciscoasa(config)#copy run star Guardar configuración
ciscoasa(config)# wr También puedes guardar la configuración
Para eliminar la configuración, puedes agregar NO delante de cómo configurar
borrar todas las configuraciones
escribe con atención
Recuerda recargar
Para eliminarlos todos, puedes usar el comando clear que contiene. Tenga cuidado de no eliminar el sistema.
Configuración de telnet CISCO ASA5510
Configuración de telnet ASA5510 y configuración de nombre de usuario y contraseña
telnet 192.168.0.0 255.255.0.0 dentro (permite TELNET IP de intranet al firewall )
telnet 192.168.1.2 255.255.255.0 interno (permitir IP de intranet 192.168.1.2 TELNET al firewall)
telnet 0.0.0.0 0.0.0.0 interno Puede iniciar sesión en cualquier dirección a través de la interfaz INTERIOR TELNET
telnet 0.0.0.0 0.0.0.0 exterior Puede iniciar sesión en cualquier dirección a través de la interfaz exterior TELNET
tiempo de espera de telnet 5
TELNET configuración de nombre de usuario y contraseña
#usename nombre CISCO contraseña //Establezca la cuenta de inicio de sesión y la contraseña
#aaa autenticación consola telnet LOCAL //Establezca el método de autenticación AAA. Esto es LOCAL. También puede utilizar el servidor AAA para ingresar a la verificación.
#telnet 0.0.0.0 0.0.0.0 inside //Qué direcciones se pueden conectar mediante telnet a esta interfaz
#telnet timeout 10 //Duración del tiempo de espera, en minutos
Límite de velocidad del puerto CISCO ASA5510
El diagrama de topología es el siguiente:
La configuración del límite de velocidad es la siguiente:
lista de acceso rate_limit_1 permiso extendido ip cualquiera host 192.168.1.2 / /(límite de descarga 192.168.1.2)
lista de acceso rate_limit_1 permiso extendido ip host 192.168.1.2 cualquiera //(límite de carga 192.168.1.2)
acceso- list rate_limit_2 permiso extendido ip cualquier host 192.168.1.3 //(límite de descarga 192.168.1.3)
access-list rate_limit_2 permiso extendido ip host 192.168.1.3 cualquiera //(límite de carga 192.168.1.3)
clase -map rate_limit_1
coincide con la lista de acceso rate_limit_1
salir
clase-map rate_limit_2
coincide con la lista de acceso rate_limit_2
salir
policy-map rate_limit
clase rate_limit_1
entrada policial 819000 4368000 //(limite la velocidad de carga 192.168.1.2 a 99K/S)
salida policial 819000 4368000 //(limite la velocidad de descarga de 192.168.1.2 a 99K/S)
class rate_limit_2
entrada policial 819000 4368000 / /(el límite de velocidad de carga de 192.168.1.3 es 99K/S)
salida policial 819000 4368000 //(límite de velocidad de carga de 192.168.1.3 a 99K/S)
salir
salir
interfaz service-policy rate_limit dentro //(Aplicar a la interfaz)
Nota: dado que la velocidad está limitada según una única IP, se debe escribir la ACL como una IP y dos ACL, una que coincide con la carga y otra que coincide con la descarga. Si todas las IP están escritas en una ACL, entonces el uso máximo de todas las IP está restringido a 99 K/s. Asegúrese de escribir una ACL diferente.
entrada de la policía 819000 4368000 La primera velocidad de 819000 es la velocidad básica y la última 4368000 es la velocidad de ráfaga. La velocidad de ráfaga se puede definir según usted mismo (creo).
Mapeo de puertos CISCO ASA5510.
Ahora necesitamos asignar el puerto 3389 de la red interna 192.168.1.2 al puerto 3389 de la red externa 220.178.36.156
Necesitamos asignar el puerto 4435 de la red interna red 192.168.1.3 a la red externa 220.178 .36.156 puerto 4435
estática (interior, exterior) interfaz tcp 3389 192.168.1.2 3389 máscara de red 255.255.255.255
estática (interior, exterior) interfaz tcp 4435 192.168.1.3 4435 máscara de red 255.255.255.255
lista de acceso exterior-interior permiso extendido tcp cualquier interfaz fuera de eq 3389
lista de acceso exterior-interior permiso extendido tcp cualquier interfaz outside eq 4435
grupo de acceso exterior-interior en interfaz exterior
Sintaxis: Ciscoasa(config)#access-list nombre-lista permiso extendido tcp/udp cualquier hsot dirección_exterior eq núm_puerto
list_name: nombre de la lista de control de acceso
tcp/udp: tipo de protocolo que debe asignarse
port_num: número de puerto que debe asignarse
Ciscoasa(config)#static (inside, outside) interfaz tcp/udp num_puerto dirección_local num_puerto máscara de red 255.255.255.255
Tcp/udp: tipo de protocolo que necesita ser mapeado
port_num: número de puerto antes de la asignación
local_address: dirección IP del host de intranet asignada
port_num: número de puerto asignada
Por ejemplo: Ciscoasa(config)#access-list 100 permiso extendido tcp cualquier host 219.139.* .* eq 80
Permitir que la red externa acceda al puerto tcp 80 de 219.139.*.*
Ciscoasa(config)#static (dentro, exterior) interfaz tcp 80 192.168.16.254 80 máscara de red 255.255.255.255
Al acceder al puerto TCP 80 de 218.21.217.162 desde la red externa, habilite la asignación PAT estática al puerto TCP 80 de 192.168.16.254 dentro de la red interna
Ciscoasa(config)#access-group 100 en intercae fuera de anulación por usuario
Se debe llamar a ACL para acceder
Nota: si solo necesita para asignar un servidor en la red interna a la red pública, puede hacer esto
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254
ciscoasa(config)#static (interior, exterior) 219.139.*.* 192.168.16.254
10000 10 // El siguiente 10000 es el número limitado de conexiones y 10 es el número limitado de conexiones medio abiertas.
Configuración PAT de CISCO ASA 5510
ciscoasa# conf t Ingrese al modo de configuración global
ciscoasa(config)# nombre de host nombre de gametuzi
gametuzi (config)# nombre de host gametuzi5510 nuevo nombre
gametuzi5510(config)# int e0/0 Ingrese a la interfaz E0/0
gametuzi5510(config-if)# nivel de seguridad 0 configurar seguridad Debido a que el nivel es una interfaz externa, el nivel de seguridad es el más alto
gametuzi5510(config-if)# nameif outside La interfaz nombrada es la interfaz externa
gametuzi5510(config-if) # dirección IP 192.168.3.234 255.255.255.0 Agregar dirección IP
gametuzi5510(config-if)# no shu Puerto de inicio
gametuzi5510(config-if)# fin
gametuzi5510# conf t
gametuzi5510(config)# int e0/1 Ingrese a la interfaz E0/1
gametuzi5510(config-if)# nivel de seguridad 100 Configure la seguridad interna nivel a 100
gametuzi5510(config-if)# nameif dentro de la red interna nombrada
gametuzi5510(config-if)# dirección IP 10.1.1.1 255.255.0.0 Agregar dirección IP
gametuzi5510(config- if)# no shu
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config) # global (exterior) 1 interfaz PAT ¡Traducción de direcciones!
gametuzi5510(config)# end
gametuzi5510# conf t
gametuzi5510(config)# ruta fuera de 0.0.0.0 0.0.0.0 192.168.3.254 Acceso a ruta predeterminada Todas las direcciones externas fluyen desde 192.168.3.254.
gametuzi5510(config)# nat (inside) 1 10.1.0.0 255.255.0.0 Traducción de direcciones internas 10.1.0.0 segmento de red
Configuración DHCP CISCO ASA5510
gametuzi5510 (config)# dirección dhcpd 10.1.1.20-10.1.1.150 dentro Configure DHCP para asignar segmentos de red e identificarlos como interfaces internas
gametuzi5510(config)# dhcpd dns 192.168.0.1 Agregar dirección del servidor de resolución DNS
gametuzi5510(config)# dhcpd dns 192.168.0.1 Agregar dirección de servidor de resolución DNS
p>gametuzi5510(config)# dominio dhcpd nombre de dominio gametuzi
gametuzi5510(config) # dhcpd enable inside Iniciar servicio DHCP interno
gametuzi5510(config)# end
gametuzi5510# wr Guardar configuración
gametuzi5510(config)# lista de acceso icmp_in extendida permitir icmp cualquier reenvío de protocolo Run Xu PING
gametuzi5510(config)# grupo de acceso icmp_in en la interfaz fuera del reenvío de protocolo Runxu PING
gametuzi5510(config)# end
gametuzi5510# wr
Configuración del edificio...
Cryptochecksum: 32d3d557 0d55d4a3 a1a7fa13 76667f5f
1889 bytes copiados en 3.640 segundos (629 bytes/seg)
[Aceptar]