ASA之入門實驗1
阿新 • • 發佈:2019-01-04
說在前面的話
今天閒來無事,做了一個入門的ASA實驗。實驗地址表和拓撲如下(ASA的e0 e1口做了個Redundant,然後起了子介面).
裝置 | 區域 | 地址 |
---|---|---|
Outside | Outside | 202.100.1.1 |
Inside | Inside | 10.1.1.1 |
VPC | Inside | 10.1.1.2 |
DMZ | DMZ | 192.168.1.1 |
路由器配置
由於路由器的配置是相同的,比較簡單。這裡以outside做說明:
interface Ethernet0/0
no switchport
ip address 202.100.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10 #預設路由,指向防火牆
line vty 0 4 #配置遠端登入,用於驗證
password cisco
login
transport input all
交換機配置
這裡也沒什麼多說的,放行相應的vlan。
interface Ethernet0/0 switchport trunk encapsulation dot1q switchport mode trunk duplex auto ! interface Ethernet0/1 switchport trunk encapsulation dot1q switchport mode trunk duplex auto ! interface Ethernet0/2 switchport access vlan 3 switchport mode access duplex auto spanning-tree portfast ! interface Ethernet0/3 switchport access vlan 2 switchport mode access duplex auto ! interface Ethernet1/0 switchport access vlan 4 switchport mode access duplex auto ! interface Ethernet1/1 switchport access vlan 3 switchport mode access duplex auto ! interface Ethernet1/2 switchport access vlan 2 switchport mode access duplex auto
ASA配置
interface Ethernet2 shutdown nameif Outside security-level 0 ip address 202.100.1.10 255.255.255.0 ! interface Redundant1 #配置Redundant 介面 member-interface Ethernet0 member-interface Ethernet1 no nameif no security-level no ip address ! interface Redundant1.3 #子介面1.3 放行inside區域 vlan 3 nameif inside security-level 100 ip address 10.1.1.10 255.255.255.0 ! interface Redundant1.4 #子介面1.4 放行DMZ區域 vlan 4 nameif DMZ security-level 50 ip address 192.168.1.10 255.255.255.0
結果
備註
這裡需要說明一些入門的知識點:
- 預設情況下,高級別訪問低級別的是放開的,相反則不行。
2.相同安全級別的也是沒有放開的,如需放開請使用命令: same-security-traffic permit inter-interface
3. 在一些環境中,流量需要從同一個介面流進和流出防火牆。預設是不允許的。你需要: same-security-traffic permit intera-interface
4. 來說下有個有趣的事情:redundant 和 portchannel的區別。請看下錶和圖片。
redundant | protchannel | |
---|---|---|
mode | Active/Standy | Active/Active |
sub-inteface | yes | no |
max phy-int | 8 | 48 |