杜邦卫可过硫酸氢钾:ASA 5505 从内网访问DMZ区服务器
来源:百度文库 编辑:中财网 时间:2024/04/29 23:16:20
一、实验目标
在这个实验中朋友你将要完成下列任务:
1.创建vlan
2.给vlan命名
3.给vlan分配IP
4.把接口加入到相应的VLAN,并配置接口的速率、双工(半工)
5.配置内部转化地址池(nat)外部转换地址globla
6.配置WWW和FTP服务器
二、实验拓扑
三、实验过程
1. ASA 5505基本配置:
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# interface vlan44 *建立ID为44的虚拟局域网(vlan)
ciscoasa(config-if)# nameif dmz *把vlan44的接口名称配置为dmz
ciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50
ciscoasa(config-if)# ip address
ciscoasa(config-if)# interface vlan33 *建立ID为33的虚拟局域网(vlan)
ciscoasa(config-if)# nameif inside *把vla33的接口名称配置为inside,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。在默认情况下,inside安全级别为100。
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给vlan33配置IP地址
ciscoasa(config-if)# exit
ciscoasa(config)# interface ethernet0/2 *进入e0/2接口的配置模式
ciscoasa(config-if)# switchport access vlan 44 *把e0/2接口划分到vlan22中
ciscoasa(config-if)# speed auto *设置e0/2接口的速率为自动协商
ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商
ciscoasa(config-if)# no shutdown *打开e0/2接口
ciscoasa(config-if)# interface e0/0 *进入e0/1接口的配置模式
ciscoasa(config-if)# switchport access vlan 33 *把e0/0接口划分到vlan33中
ciscoasa(config-if)# speed auto *设置e0/0接口的速率为自动协商
ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商
ciscoasa(config-if)# no shutdown *打开e0/0接口
ciscoasa(config-if)# exit
ciscoasa(config)#
2. ASA 5505本身接口的连通性测试
①测试防火墙本身vlan44接口连通性
ciscoasa# ping
Sending 5, 100-byte ICMP Echos to
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
②测试防火墙本身vlan33接口连通性
ciscoasa# ping 192.168.0.211
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:
!!!!!
3. 配置PC:
具体网络参数如拓扑图所示。
4 配置DMZ Server:
1) 具体网络参数如拓扑图所示;
2) 配置为WWW服务器和FTP服务器。
5. dmz区服务器和PC测试连通性:
①测试防火墙到dmz服务器的连通性
ciscoasa# ping
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
②测试防火墙到内网PC的连通性
ciscoasa# ping 192.168.0.212
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.212, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
6. 设置内部网络inside到外部网络outside的访问:
ciscoasa(config)# nat (inside) 1
ciscoasa(config)# show running-config nat *查看防火墙的nat配置
nat (inside) 1
ciscoasa(config)# global (dmz) 1 interface *使用nat命令后,必须使用global命令定义用于转换的IP地址范围。“global (dmz) 1 interface”指定PAT使用dmz接口上的IP地址进行出站转换连接。
INFO: dmz interface address added to PAT pool
ciscoasa(config)# show running-config global *查看防火墙的global配置
global (dmz) 1 interface *global配置信息
ciscoasa(config)# write memory *保存配置信息
Building configuration...
Cryptochecksum: de
1974 bytes copied in 1.420 secs (1974 bytes/sec)
[OK]
ciscoasa(config)#
7. 从PC 访问DMZ 服务器:
http:\\
ftp:\\11..
8. 查看地址转换表: ciscoasa(config)# show xlate 9. 实验完成后请删除配置文件信息, ciscoasa(config)# write erase *删除配置文件信息 Erase configuration in flash memory? [confirm] [OK]