防火墙路由引入
需要的设备:三个路由器、一个交换机、一个ASA防火墙
交换机上的配置 SW1> SW1>en
SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:
Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:
Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t
SW1(config)#int f0/2
SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11
SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12
SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 3 SW1(config-if-range)#^Z R1> R1>en R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config)#int loopback 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit
R1(config)#line vty 0 4 R1(config-line)#no login R1(config-line)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.8(配置缺省路由) R2>
R2>en R2#conf t
R2(config)#int fastEthernet 0/0
R2(config-if)#ip address 20.1.1.2 255.255.255.0 R2(config-if)#no shut
R2(config)#interface loopback 0
R2(config-if)#ip address 2.2.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#network 20.1.1.0 0.0.0.255 area 0(宣告路由网段) R2(config-router)#network 2.2.2.0 0.0.0.255 a 0 (宣告路由网段) R2(config-router)#exit R3> R3>en R3#conf t
R3(config)#interface fastEthernet 0/0
R3(config-if)#ip address 30.1.1.3 255.255.255.0 R3(config-if)#no shut R3(config-if)#int loo 0
R3(config-if)#ip address 3.3.3.3 255.255.255.0 R3(config-if)#no shut R3(config-if)#exit
R3(config)#router eigrp 100
R3(config-router)#network 3.3.3.0(宣告本地网段) R3(config-router)#network 30.1.1.0(宣告本地网段) R3(config-router)#no auto-summary (关闭汇总) R3(config-router)#exit
ASA1防火墙上的配置 pixfirewall> pixfirewall> en Password:
pixfirewall# conf t
pixfirewall(config)# ho ASA1
ASA1(config)# interface ethernet 0 ASA1(config-if)# nameif outside
INFO: Security level for \(默认安全级为0) ASA1(config-if)# ip address 10.1.1.8 255.255.255.0 ASA1(config-if)# no shut
ASA1(config-if)# interface ethernet 1 ASA1(config-if)# nameif inside
INFO: Security level for \ (默认安全级为100)
ASA1(config-if)# ip address 20.1.1.8 255.255.255.0 ASA1(config-if)# no shut
ASA1(config-if)# interface ethernet 2 ASA1(config-if)# nameif DMZ
INFO: Security level for \ (默认安全级为0) ASA1(config-if)# security-level 50(设置安全级为50) ASA1(config-if)# ip address 30.1.1.8 255.255.255.0 ASA1(config-if)# no shut ASA1(config-if)# exit
下面配置静态路由
ASA1(config)# route outside 1.1.1.0 255.255.255.0 10.1.1.1(配置静态路由:从outside接口出 目的网络和子网掩码 下一跳ID) 下面配置ospf动态路由 ASA1(config)# router ospf 1
ASA1(config-router)# network 20.1.1.0 0.0.0.255 area 0
ERROR: OSPF: Invalid address/mask combination (discontiguous mask) (防火墙上不支持反掩码) ASA1(config-router)# network 20.1.1.0 255.255.255.0 area 0
ASA1(config-router)# redistribute static subnets (在ospf中引入静态携带子网) ASA1(config-router)# redistribute ?
router mode commands/options:
connected Connected (直连路由)
eigrp Enhanced Interior Gateway Routing Protocol (EIGRP)(eigrp动态路由) ospf Open Shortest Path First (OSPF)(ospf动态路由) rip Routing Information Protocol (RIP)(rip动态路由) static Static routes(静态路由)
ASA1(config-router)# redistribute connected subnets(在ospf中引入直连路由携带子网) ASA1(config-router)# redistribute eigrp 100 subnets(在ospf中引入eigrp路由) ASA1(config-router)# exit 下面配置eigrp动态路由 ASA1(config)# router eigrp 100
ASA1(config-router)# network 30.1.1.0
ASA1(config-router)# no auto-summary (关闭自动汇总)
ASA1(config-router)# redistribute connected(在eigrp中引入直连) ASA1(config-router)# redistribute static(在eigrp中引入静态)
ASA1(config-router)# redistribute ospf 1 metric 10000 100 255 1 1500(把ospf引入eigrp中) ASA1(config-router)# exit
在ASA1上做ACL放行配置
ASA1(config)# access-list bb permit tcp any any eq telnet (any的意思是允许所有路由通过) ASA1(config)# access-group bb in interface outside(把bb的这个访问列表应用到in的方向outside端口上)
放行ICMP流量有俩种方法
第一种方法是将icmp添加到策略表里(只能从高级别访问低级别、低级别不可以访问高级别)
ASA1(config)# policy-map global_policy
ASA1(config-pmap)# class inspection_default ASA1(config-pmap-c)# inspect icmp ASA1(config-pmap-c)# exit ASA1(config-pmap)# exit ASA1(config)# show run
policy-map type inspect dns migrated_dns_map_1 parameters
message-length maximum 512 policy-map global_policy class inspection_default
inspect dns migrated_dns_map_1 inspect ftp
inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp
inspect icmp (在策略表里看到这条信息) 在策略表中删掉ICMP
ASA1(config)# policy-map global_policy
ASA1(config-pmap)# class inspection_default ASA1(config-pmap-c)# no inspect icmp ASA1(config-pmap-c)# exit ASA1(config-pmap)# exit
第二种方法是将ICMP通过ACL访问控制列表放行 ASA1(config)# access-list bb permit icmp any any access-list bb extended permit tcp any any eq telnet access-list bb extended permit icmp any any ASA1(config)# access-group bb in interface DMZ
下面我们做防火墙上的NAT
ASA1(config)# show run nat-control
no nat-control(防火墙默认的情况下是关闭状态,所有我们在做NAT的时候就要把它开启) ASA1(config)# nat-control(开启NAT)
ASA1(config)# nat (inside) 1 20.1.1.0 255.255.255.0(设置20网段的ip地址进入1号列表池里进行转换)
ASA1(config)# global (outside) 1 10.1.1.10-10.1.1.20(设置1号地址里的转换ip 所进来的ip都将转换成地址池里的ip才能出去)(设置进入outside区域转换的地址池)
ASA1(config)# nat (inside) 1 2.2.2.0 255.255.255.0(设置2.0的网段ip地址进入1号列表地址池里进行转换ip 它们共同使用1号地址池里的ip转换出去) ASA1(config)# show run nat(查看已配置好的nat转换) nat (inside) 1 2.2.2.0 255.255.255.0 nat (inside) 1 20.1.1.0 255.255.255.0
ASA1(config)# show run global (查看已配置的地址池) global (outside) 1 10.1.1.10-10.1.1.20
ASA1(config)# global (dmz) 1 30.1.1.90-30.1.1.100(设置进入dmz区域转换的地址池) ASA1(config)# show run global
global (outside) 1 10.1.1.10-10.1.1.20 global (DMZ) 1 30.1.1.90-30.1.1.100
(防火墙上清空所有配置的命令:ASA1(config)# clear configure all) (查看转换规则的命令是:ASA1(config)# show xlate) PAT(多对一)地址转换
ASA1(config)# nat (inside) 1 20.1.1.0 255.255.255.0 ASA1(config)# nat (inside) 1 2.2.2.0 255.255.255.0
ASA1(config)# global (outside) 1 10.1.1.100(建立PAT) ASA1(config)# show xlate (查看转换规则) 2 in use, 7 most used
PAT Global 10.1.1.100(6) Local 2.2.2.2 ICMP id 37 PAT Global 10.1.1.100(5) Local 20.1.1.2 ICMP id 36 ASA1(config)# clear xlate(清除转换规则) ASA1(config)# show xlate 0 in use, 7 most used 一个公有ip的转换方法
ASA1(config)# nat (inside) 1 20.1.1.0 255.255.255.0 ASA1(config)# nat (inside) 1 2.2.2.0 255.255.255.0 ASA1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool 在R2上telnet1.1.1.1时候在R1上查看转换的ip是 R1#who(查看转换完的命令)
Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 66 vty 0 idle 00:00:12 10.1.1.8
Interface User Mode Idle Peer Address
我们将R3看成是服务器