9.3.1.1 数据包跟踪程序 – 使用 CLI 答案配置 ASA 基本设置和防火墙
Packet Tracer - 使用 CLI 配置 ASA 基本设置和防火墙
IP 地址分配表
设备
接口
IP 地址
子网掩码
默认网关
R1
G0/0
209.165.200.225
255.255.255.248
不适用
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
不适用
R2
S0/0/0
10.1.1.2
255.255.255.252
不适用
S0/0/1 (DCE)
10.2.2.2
255.255.255.252
不适用
R3
G0/1
172.16.3.1
255.255.255.0
不适用
S0/0/1
10.2.2.1
255.255.255.252
不适用
ASA
VLAN 1 (E0/1)
192.168.1.1
255.255.255.0
不适用
ASA
VLAN 2 (E0/0)
209.165.200.226
255.255.255.248
不适用
ASA
VLAN 3 (E0/2)
192.168.2.1
255.255.255.0
不适用
DMZ 服务器
NIC
192.168.2.3
255.255.255.0
192.168.2.1
PC-B
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-C
NIC
172.16.3.3
255.255.255.0
172.16.3.1
目标
· 验证连接并了解 ASA
· 使用 CLI 配置基本 ASA 设置和接口安全级别
· 使用 CLI 配置路由、地址转换和检查策略
· 配置 DHCP、AAA 和 SSH
· 配置 DMZ、静态 NAT 和 ACL
场景
您公司的某个位置连接到 ISP。R1 代表由 ISP 管理的 CPE 设备。R2 代表中间 互联网路由器。R3 代表代表 ISP,
其连接从网络管理公司雇来负责远程管理网络的管理员。 ASA 是一种边缘 CPE 安全设备,它将内部企业 网络和 DMZ 连接到 ISP,同时为内部 主机提供
NAT和 DHCP 服务。ASA 将配置为受内部网络上的管理员和远程管理员的管理。 第 3 层 VLAN 接口提供对练习中创建的三个区域的访问:内部、外部和
DMZ。 ISP 分配的公共 IP 地址空间为 209.165.200.224/29,用于在 ASA 上进行地址转换。
已使用 以下信息对所有路由器所有交换机进行了预配置:
o 启用 密码:ciscoenpa55
o 控制台 密码:ciscoconpa55
o Admin 用户名和密码:admin/adminpa55
注意:此 Packet Tracer 练习无法取代 ASA 实验。本练习提供其他做法并模拟了大多数 ASA 5505 配置。与实际的 ASA 5505 相比,
Packet Tracer上尚不支持的命令输出或命令可能存在细微 的差别。
第 1 部分:验证 连接并了解 ASA
注意:此 Packet Tracer 练习开始时,20% 的考试 项已标记为完成。这是为了确保您不会在无意当中 更改某些 ASA 默认值。例如,
内部接口的默认名称为“inside”,不得 更改。点击 Check Results(检查结果),看看哪些考试项 已评分为正确。
步骤 1:验证 连接。
当前未配置 ASA。但是,所有路由器、 PC 和 DMZ 服务器均已配置。验证 PC-C 可以 ping 通任何路由器 接口。PC C 无法 ping 通
ASA、PC-B 或 DMZ 服务器。
步骤 2:确定 ASA 版本、接口和许可证。
使用 show version 命令确定此 ASA 设备的各个 方面。
步骤 3:确定 文件系统和闪存的内容。
a. 进入特权 EXEC 模式。密码尚未设置。提示输入密码时,按 Enter 。
b. 使用 show file system 命令以显示 ASA 文件系统并 确定支持哪些前缀。
c. 使用 show flash: 或 show disk0: 命令可显示 闪存的内容。
第 2 部分:使用 CLI 导配置 ASA 设置和接口安全性
提示::许多 ASA CLI 命令与思科 IOS CLI 中使用的命令类似(如果不 完全相同)。此外,在配置模式和子模式之间 移动的过程基本是相同的。
步骤 1:配置 主机名和域名。
* 将 ASA 主机名配置为 CCNAS-ASA。
ciscoasa(config)#hostname CCNAS-ASA
* 将域名配置为 ccnasecurity.com。
ciscoasa(config)#domain-name ccnasecurity.com
步骤 2:配置 启用模式密码。
使用 enable password 命令,将特权 EXEC 模式的密码更改为 ciscoenpa55。
ciscoasa(config)#enable password ciscoenpa55
步骤 3:设置日期 和时间。
使用 clock set 命令手动设置日期 和时间(此步骤不计分)。
ciscoasa(config)#clock set 12:09:00 16 June 2022
步骤 4:配置 内部和外部接口。
此时只能配置 VLAN 1(内部)和 VLAN 2 (外部)接口。将在本练习的第 5 部分中 配置 VLAN 3 (dmz) 接口。
* 配置 内部网络(inside) (192.168.1.0/24) 的逻辑 VLAN 1 接口,将 安全级别设为最高设置值 100。
查看ip分配表:
CCNAS-ASA(config)#int vlan 1
CCNAS-ASA(config-if)#nameif inside
CCNAS-ASA(config-if)#ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)#Security-level 100
* 配置 外部网络(outside) (209.165.200.224/29) 的逻辑 VLAN 2 接口,将 安全级别设为最低设置值 0,并启用
VLAN 2接口。
CCNAS-ASA(config-if)#int vlan 2
CCNAS-ASA(config-if)#nameif outside
CCNAS-ASA(config-if)#ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)#Security-level 0
CCNAS-ASA(config-if)#exit
CCNAS-ASA(config)#int e0/0
CCNAS-ASA(config-if)#switchport access vlan 2
CCNAS-ASA(config-if)#no shutdown
CCNAS-ASA(config-if)#switchport mode access
* 使用以下验证命令 检查您的配置:
1) 使用 show interface ip brief 命令可显示所有 ASA 接口的状态。注意:此命令不同于 IOS 命令 show ip
interface brief。如果有任何物理或逻辑接口之前 未配置为 up/up,请根据需要进行故障排除,然后再继续进行其他操作。
提示:大多数 ASA show 命令,包括 ping、copy 等等,可以从 任何配置模式提示符发出,而无需使用 do 命令。
2) 使用 show ip address 命令显示第 3 层 VLAN 接口的信息。
3) 使用 show switch vlan 命令可显示 ASA 上配置的内部和外部 VLAN,还可显示分配的端口。
步骤 5:测试 与 ASA 的连接。
* 您应能够从 PC-B ping 通 ASA 内部接口地址 (192.168.1.1)。如果 ping 操作失败,请根据需要对配置进行故障排除。
* 从 PC-B ping 通 IP 地址为 209.165.200.226 的 VLAN 2(外部)接口。您应该无法 ping 通此地址。
第 3 部分:使用 CLI 配置路由、 地址转换和检查策略
步骤 1:配置 ASA 的静态默认路由。
在 ASA 外部 接口上配置默认静态路由,使 ASA 能够到达外部网络。
* 使用 route 命令创建“全零”默认路由,将其与 ASA 外部接口关联,并指向 R1 G0/0 IP 地址 (209.165.200.225)
作为最后选用网关。
CCNAS-ASA(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225
* 发出 show route 命令已验证该静态默认路由是否在 ASA 路由表中。
* 验证 ASA 是否能 ping 通 R1 S0/0/0 IP 地址 10.1.1.1。如果 ping 操作不成功,请根据需要进行故障排除。
步骤 2:使用 PAT 和网络对象配置 地址转换。
* 创建网络对象 inside-net,并 使用 subnet 和 nat 命令向其分配属性。
CCNAS-ASA(config)#object network inside-net
CCNAS-ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)#nat (inside,outside) dynamic interface
b. ASA将配置拆分为定义 要转换的网络的对象部分和实际的 nat 命令参数。 它们出现在运行配置中的两个不同位置。使用 show run 命令显示 NAT
对象配置。
c. 从 PC-B 尝试 ping 通 IP 地址为 209.165.200.225 的 R1 G0/0 接口。 ping 操作应该会失败。
* 在 ASA 上发出 show nat 命令,查看已转换和未转换的 命中数。请注意,在从 PC-B 发出的 ping 请求中,有四个请求已转换,还有四个
未转换。传出 ping(回应)已转换且已发送至目的地。防火墙策略阻止了 返回回应应答。在练习这一部分的步骤 3 中,您将配置 默认检查策略以允许 ICMP。
步骤 3:修改 默认 MPF 应用检查全局服务策略。
对于应用层检查和其他高级 选项,可在 ASA 上使用思科 MPF。
Packet Tracer ASA 设备默认情况下没有实施 MPF 策略 映射。作为修改,我们可以创建默认的 策略映射,用于检查内部到外部的流量。正确
配置后,只允许从内部发起的流量回到 外部接口。您需要将 ICMP 添加到检查列表中。
* 创建类映射、策略映射和服务映射。使用以下命令将 ICMP 流量检查添加到策略映射列表:
CCNAS-ASA(config)#class-map inspection_default
CCNAS-ASA(config-cmap)#match default-inspection-traffic
CCNAS-ASA(config-cmap)#exit
CCNAS-ASA(config)#policy-map global_policy
CCNAS-ASA(config-pmap)#class inspection_default
CCNAS-ASA(config-pmap-c)#inspect icmp
CCNAS-ASA(config-pmap-c)#exit
CCNAS-ASA(config)#service-policy global_policy global
* 从 PC-B 尝试 ping 通 IP 地址为 209.165.200.225 的 R1 G0/0 接口。 ping 操作应当会成功,因为现在正在 检查
ICMP流量并允许合法返回的流量。如果 ping 失败, 请对配置进行故障排除。
第 4 部分:配置 DHCP、 AAA 和 SSH
步骤 1:将 ASA 配置为 DHCP 服务器。
* 配置 DHCP 地址池并在 ASA 内部接口上启用它。
CCNAS-ASA(config)#dhcpd address 192.168.1.5-192.168.1.36 inside
* (可选)指定提供给 客户端的 DNS 服务器的 IP 地址。
CCNAS-ASA(config)#dhcpd dns 209.165.201.2 interface inside
* 在 ASA 内启用 DHCP 后台守护程序,以在 启用的接口(内部)上侦听 DHCP 客户端请求。
原本命令应该是:
CCNAS-ASA(config)# dhcpd enable inside
CCNAS-ASA(config)# dhcpd auto_config outside
但我也不知道为什么这个才记分:
CCNAS-ASA(config)# no dhcpd enable inside
CCNAS-ASA(config)#no dhcpd auto_config outside
* 将 PC-B 从静态 IP 地址更改为 DHCP 客户端,并验证 是否接收到 IP 寻址信息。根据需要排除故障,以解决 任何问题。
步骤 2:将 AAA 配置为使用本地数据库进行认证。
* 输入 username 命令以定义名为 admin 的本地用户。指定密码 adminpa55。
CCNAS-ASA(config)#username admin password adminpa55
* 将 AAA 配置为使用本地 ASA 数据库进行 SSH 用户认证。
CCNAS-ASA(config)#aaa authentication ssh console LOCAL
步骤 3:配置 对 ASA 的远程访问。
可以将 ASA 配置为接受来自内部或外部网络上的 单台主机或一系列主机的连接。在此步骤中, 来自外部网络的主机只能使用 SSH 与 ASA 进行通信。 SSH
会话可用于从内部网络访问 ASA。
a. 生成 RSA 密钥对,这是支持 SSH 连接所必需的。由于 ASA 设备已经设置了 RSA 密钥,因此可在系统提示 更换密码时输入 no。
警告:您已经定义了名为 的 RSA 密钥对。
Do you really want to replace them? [yes/no]: no
ERROR: Failed to create new RSA keys named
CCNAS-ASA(config)#crypto key generate rsa modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: no
ERROR: Failed to create new RSA keys named <Default-RSA-Key>
* 配置 ASA 以允许来自 内部网络 (192.168.1.0/24) 上的任何主机的 SSH 连接,以及来自外部网络上的 分支机构
(172.16.3.3)的远程管理主机的 SSH 连接。将 SSH 超时设置为 10 分钟(默认值为 5 分钟)。
CCNAS-ASA(config)#ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)#ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)#ssh timeout 10
c. 建立从 PC-C 到 ASA (209.165.200.226) 的 SSH 会话。 如果不成功,请进行故障排除。
PC> ssh -l admin 209.165.200.226
d. 建立从 PC-B 到 ASA (192.168.1.1) 的 SSH 会话。 如果不成功,请进行故障排除。
PC> ssh -l admin 192.168.1.1
第 5 部分:配置 DMZ、静态 NAT 和 ACL
R1 G0/0 和 ASA 外部接口已分别使用 209.165.200.225 和 .226。您将使用公共地址 209.165.200.227 和静态 NAT
来提供对服务器的地址转换访问。
步骤 1:在 ASA 上配置 DMZ 接口 VLAN 3。
* 配置 DMZ VLAN 3,这是公共访问 Web 服务器 所在的位置。向其分配 IP 地址 192.168.2.1/24,命名为 dmz,然后向其分配
安全级别 70。由于服务器不需要发起 与内部用户的通信,因此禁用向接口 VLAN 1 执行的转发。
CCNAS-ASA(config)#interface vlan 3
CCNAS-ASA(config-if)#ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)#nameif dmz
CCNAS-ASA(config-if)#security-level 70
CCNAS-ASA(config-if)#no forward interface vlan 1
* 将 ASA 物理接口 E0/2 分配给 DMZ VLAN 3 并启用该 接口。
CCNAS-ASA(config-if)#interface Ethernet0/2
CCNAS-ASA(config-if)#switchport access vlan 3
c. 使用以下验证命令检查您的配置:
1) 使用 show interface ip brief 命令可显示所有 ASA 接口的状态。
2) 使用 show ip address 命令显示第 3 层 VLAN 接口的信息。
3) 使用 show switch vlan 命令可显示 ASA 上配置的内部和外部 VLAN ,还可显示分配的端口。
步骤 2:使用网络对象配置 DMZ 服务器的静态 NAT。
配置名为 dmz-server 的网络对象并 向其分配 DMZ 服务器的静态 IP 地址 (192.168.2.3)。在 对象定义模式下,使用 nat
命令指定此对象 用于使用静态 NAT 将 DMZ 地址转换为外部地址,并 指定公共转换地址 209.165.200.227。
CCNAS-ASA(config-if)#object network dmz-server
CCNAS-ASA(config-network-object)#host 192.168.2.3
CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227
步骤 3:配置 ACL 以允许从互联网访问 DMZ 服务器。
配置名为 OUTSIDE-DMZ 的访问列表, 允许从任何外部主机到 DMZ 服务器的内部 IP 地址的 TCP 协议。将该访问列表应用于“IN”方向的
ASA外部接口 。
注意:与 IOS ACL 不同,ASA ACL 允许语句 必须允许访问内部专用 DMZ 地址。外部主机使用其公共静态 NAT 地址访问 服务器,ASA
将其转换为 内部主机 IP 地址,然后应用 ACL。
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)#access-group OUTSIDE-DMZ in interface outside
步骤 4:测试 对 DMZ 服务器的访问。
创建此 Packet Tracer 练习时, 无法成功测试对 DMZ Web 服务器的外部访问 。因此,不要求一定取得成功的测试结果。
步骤 5:检查 结果。
完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已 完成的所需组件。