起码要懂一点cisco知识才行
我上周刚部署了open,是在PIX的525E上面做的
Open内网地址是172119 ,公网ip地址是116XXXXXX148
端口是1194
我把我的配置发出来,你参考下,
pixfirewall# sh run
: Saved
:
PIX Version 80(4)28
!
hostname pixfirewall
enable password Z9hIxownVgzBfrub encrypted
passwd i9jPEHs8azWFqkbG encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 116xxxxxx 150 255255255240
!
interface Ethernet1
nameif inside
security-level 100
ip address 1721110 2552552550
!
ftp mode passive
access-list acl_in extended permit icmp any any
access-list acl_in extended permit ip 172110 2552552550 any
access-list acl_in extended permit tcp any any eq 8000
access-list acl_in extended permit tcp any any eq 8888
access-list acl_in extended permit tcp any any eq 8080
access-list acl_in extended permit tcp any any eq 1863
access-list acl_in extended permit ip any host 20296209133
access-list acl_in extended permit tcp any any eq >路由器防火墙配置方法: 一、IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。 开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则。 二、设置方法如下: 1.选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。 2、添加IP地址过滤新条目: 允许内网1921681103完全不受限制的访问外网的所有IP地址。因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:1921681100-1921681102不需要进行添加,默认禁止其通过。 3、保存后生成如下条目,即能达到预期目的。 4、浏览网页需使用到80端口(>WAN口呢连接路由器的,从路由器获取网络数据的,既然你e0/1接了交换机那么LAN又有什么用难道是用2个交换机吗?e0/1的交换机是怎么交换机,还有交换机和e0/1与电脑的接口vlan最好一样。防火墙上可以做NAT也可以不做,做个路由(RIP,OSPF)都行。最好友网络拓扑图最好。CISCO ASA 基本配置
ciscoasa#conf t 进入全局模式
ciscoasa(config)# hostname cisco 命名
ciscoasa(config)# show running-config 查看当前配置
ciscoasa(config)# show startup-config 查看保存配置
ciscoasa(config)#copy run star 保存配置
ciscoasa(config)# wr 也可保存配置
删除配置,可在怎么配置的前面加NO 就可以
clear config all
write earse
记得 再reload
全部删除你可以用一下他里面的clear 命令。注意别把系统给删除了。
CISCO ASA5510 telnet 配置
ASA5510 telnet 配置及用户名和密码配置
telnet 19216800 25525500 inside (准许内网IP TELNET到防火墙)
telnet 19216812 2552552550 inside (准许内网IP 19216812 TELNET到防火墙)
telnet 0000 0000 inside 登录任何地址都可以通过INSIDE 接口TELNET
telnet 0000 0000 outside 登录任何地址都可以通过outside 接口TELNET
telnet timeout 5
TELNET 用户名和密码配置
#usename name CISCO password //设置登入的帐号和密码
#aaa authentication telnet console LOCAL //设置AAA验证方式。 此处为LOCAL本地。也可以用AAA服务器进入验证。
#telnet 0000 0000 inside //哪些地址可telnet进此接口
#telnet timeout 10 //超时时长,以分钟为单位
CISCO ASA5510端口限速
拓扑图如下:
限速配置如下:
access-list rate_limit_1 extended permit ip any host 19216812 //(限制19216812下载)
access-list rate_limit_1 extended permit ip host 19216812 any //(限制19216812上传)
access-list rate_limit_2 extended permit ip any host 19216813 //(限制19216813下载)
access-list rate_limit_2 extended permit ip host 19216813 any //(限制19216813上传)
class-map rate_limit_1
match access-list rate_limit_1
exit
class-map rate_limit_2
match access-list rate_limit_2
exit
policy-map rate_limit
class rate_limit_1
police input 819000 4368000 //(限制19216812上传速度为99K/S)
police output 819000 4368000 //(限制19216812下载速度为99K/S)
class rate_limit_2
police input 819000 4368000 //(限制19216813上传速度为99K/S)
police output 819000 4368000 //(限制19216813上传速度为99K/S)
exit
exit
service-policy rate_limit interface inside //(应用到接口上)
注:由于是根据单个IP限制速度,所以ACL要写成一个IP两句ACL,一个匹配上传,另一个匹配下载。要是所有IP都写在一个ACL里,那么是限制所有IP的共用这99K/s。一定要写不同的ACL。
police input 819000 4368000 前一个819000速度是基本速率,后一个4368000是突发速率,突发速率可以根据自己来定义(我认为)。
CISCO ASA5510端口映射。
现在要让内网19216812的3389端口映射成外网22017836156的3389端口
要把内网19216813 的4435端口映射成外网22017836156的4435端口
static (inside,outside) tcp interface 3389 19216812 3389 netmask 255255255255
static (inside,outside) tcp interface 4435 19216813 4435 netmask 255255255255
access-list outside-inside extended permit tcp any interface outside eq 3389
access-list outside-inside extended permit tcp any interface outside eq 4435
access-group outside-inside in interface outside
语法:Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num
list_name:访问控制列表名称
tcp/udp:需要映射的协议类型
port_num:需要映射的端口号
Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255255255255
Tcp/udp:需要映射的协议类型
port_num:映射前的端口号
local_address:映射后的内网主机IP地址
port_num:映射后的端口号
例如:Ciscoasa(config)#access-list 100 extended permit tcp any host 219139 eq 80
允许外网访问219139的tcp 80端口
Ciscoasa(config)#static (inside,outside) tcp interface 80 19216816254 80 netmask 255255255255
外网访问21821217162的tcp 80端口时启用静态PAT映射到内网19216816254的tcp 80端口
Ciscoasa(config)#access-group 100 in intercae outside per-user-override
访问必须调用ACL
备注如果,只是需要将内网一个服务器映射到公网可以这样做
ciscoasa(config)#static (inside, outside) 219139 19216816254
ciscoasa(config)#static (inside, outside) 219139 19216816254 10000 10 //后面的10000为限制连接数,10为限制的半开连接数。
CISCO ASA 5510 PAT 配置
ciscoasa# conf t 进入全局配置模式
ciscoasa(config)# hostname gametuzi 命名
gametuzi(config)# hostname gametuzi5510 新的名字
gametuzi5510(config)# int e0/0 进入E0/0 接口
gametuzi5510(config-if)# security-level 0 配置安全级别 因为是外部接口,安全级别为最高
gametuzi5510(config-if)# nameif outside 命名接口为外部接口
gametuzi5510(config-if)# ip address 1921683234 2552552550 添加IP地址
gametuzi5510(config-if)# no shu 启动端口
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# int e0/1 进入E0/1接口
gametuzi5510(config-if)# security-level 100 设置内部安全级别为100
gametuzi5510(config-if)# nameif inside 命名内部网络
gametuzi5510(config-if)# ip address 10111 25525500 添加IP地址
gametuzi5510(config-if)# no shu
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# global (outside) 1 interface PAT地址转换!
gametuzi5510(config)# end
gametuzi5510# conf t
gametuzi5510(config)# route outside 0000 0000 1921683254 默认路由 访问所有外部地址从1921683254 流出。
gametuzi5510(config)# nat (inside) 1 10100 25525500 内部地址转换 10100 网段
CISCO ASA5510 DHCP 配置
gametuzi5510(config)# dhcpd address 101120-1011150 inside 配置DHCP 可分配网段,并标识为内部接口
gametuzi5510(config)# dhcpd dns 19216801 添加DNS解析服务器地址
gametuzi5510(config)# dhcpd domain gametuzi 域名
gametuzi5510(config)# dhcpd enable inside 启动内部DHCP服务
gametuzi5510(config)# end
gametuzi5510# wr 保存配置
gametuzi5510(config)# access-list icmp_in extended permit icmp any any 润许PING协议转发
gametuzi5510(config)# access-group icmp_in in interface outside润许PING协议转发
gametuzi5510(config)# end
gametuzi5510# wr
Building configuration
Cryptochecksum: 32d3d557 0d55d4a3 a1a7fa13 76667f5f
1889 bytes copied in 3640 secs (629 bytes/sec)
[OK]如果主机不用划VLAN做单臂路由
只需要运用到NAT知识点和端口映射知识点
配置很简单,如下。
(假设PC0、PC1是自动获取IP地址、服务器设置成19216812 2552552550的静态C类IP)
Router>en
Router#conf t
Enter configuration commands, one per line End with CNTL/Z
Router4(config)#interface f0/1
Router4(config-if)#no shutdown
Router4(config-if)#ip address 1001001001 2552552550
Router4(config-if)#ip nat outside
Router4(config-if)#exit
Router4(config)#interface f0/0
Router4(config-if)#no shutdown
Router4(config-if)#ip nat inside
Router4(config-if)#exit
Router4(config)#ip dhcp pool 1
Router4(dhcp-config)#network 19216810 2552552550
Router4(dhcp-config)#default-router 19216811
Router4(dhcp-config)#dns 2021032468
Router4(dhcp-config)#exit
Router4(config)#ip dhcp ex 19216811
Router4(config)#access-list 1 permit 19216800 00255255
Router4(config)#ip nat inside source list 1 interface f0/1 overload
Router>en
Router#conf t
Router5(config)#inter f0/1
Router5(config-if)#no shutdown
Router5(config-if)#ip address 100100100100 2552552550
Router5(config-if)#ip nat outside
Router5(config-if)#exit
Router5(config)#interface f0/0
Router5(config-if)#no shutdown
Router5(config-if)#ip add 19216811 2552552550
Router5(config-if)#ip nat inside
Router5(config-if)#exit
Router5(config)#ip nat
Router5(config)#access-list 1 permit 19216800 00255255
Router5(config)#ip nat inside source list 1 interface f0/1 overload
Router5(config)#ip nat inside source static tcp 19216812 80 100100100100 80你给分。我要升级
拿console线 防火墙自带的
一头接com口,一头接防火墙的console口,然后打开超级终端,随便选个图标,起个名字,然后选择你的com口, 选择参数的时候,还原默认即可
具体配置过程 ,去我baidu空间看,asa5510的配置实例,你可以参考下。命令都一样 ,道理也一样
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)