outsid是什么意思sid在线翻译读音例句

在配ASA5505时用到的命令

2009-11-2222:49

nat-control命令

在6.3的时候只要是穿越防火墙都需要创建转换项，比如：nat；static等等，

没有转换项是不能穿越防火墙的，但是到了7.0这个规则有了变化，不需要任何

转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了！当你打

上nat-control这个命令的时候，这个规则就改变得和6.3时代一样必须要有转

换项才能穿越防火墙了。7.0以后开始nat-control是默认关闭的，关闭的时

候允许没有配置NAT规则的前提下和外部主机通信，相当于路由器一样，启用

NAT开关后内外网就必须通过NAT转换才能通信

1、定义外口

interfaceEthernet0/0进入端口

nameifoutside定义端口为外口

security-level0定义安全等级为0

noshut激活端口

2、定义内口

interfaceEthernet0/1

nameifinside定义端口为内

security-level100定义端口安去昂等级为100

noshut

ipaddress192.168.1.1255.255.255.0

3、定义内部NAT范围。

nat(inside)10.0.0.00.0.0.0任何IP都可以NAT，可以自由设置范围。

4、定义外网地址池

global(outside)110.21.67.10-10.21.67.14netmask255.255.255.240

或

global(outside)1interface当ISP只分配给一个IP是，直接使用分配给外

口的IP地址。

5、设置默认路由

routeoutside00218.17.148.14指定下一条为IPS指定的网关地址

查看NAT转换情况

showxlate

---------------------------------------------------

一：6个基本命令：nameif、interface、ipaddress、nat、global、route。

二：基本配置步骤：

step1:命名接口名字

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

nameifethernet2dmzsecurity50

＊＊7版本的配置是先进入接口再命名。

step2：配置接口速率

interfaceethernet010fullauto

interfaceethernet110fullauto

interfaceethernet210full

step3：配置接口地址

ipaddressoutside218.106.185.82

ipaddressinside192.168.100.1255.255.255.0

ipaddressdmz192.168.200.1255.255.255.0

step4：地址转换（必须）

*安全高的区域访问安全低的区域（即内部到外部）需NAT和global;

nat(inside)1192.168.1.1255.255.255.0

global(outside)1222.240.254.193255.255.255.248

＊＊＊nat(inside)0192.168.1.1255.255.255.255表示192.168.1.1这个

地址不需要转换。直接转发出去。

*如果内部有服务器需要映射到公网地址(外网访问内网)则需要static和

conduit或者acl.

static(inside,outside)222.240.254.194192.168.1.240

static(inside,outside)222.240.254.194192.168.1.2401000010

后面的10000为限制连接数，10为限制的半开连接数。

conduitpermittcphost222.240.254.194eqwwwany

conduitpermiticmpanyany(这个命令在做测试期间可以配置，测试完之后

要关掉，防止不必要的漏洞)

ACL实现的功能和conduit一样都可实现策略访问，只是ACL稍微麻烦点。

conduit现在在7版本已经不能用了。

Access-list101permittcpanyhost222.240.254.194eqwww

Access-group101ininterfaceoutside(绑定到接口)

＊＊＊允许任何地址到主机地址为222.240.254.194的www的tcp访问。

Step5：路由定义：

Routeoutside00222.240.254.1931

Routeinside192.168.10.0255.255.255.0192.168.1.11

＊＊如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

Step6：基础配置完成，保存配置。

Writememorywriteerase清空配置

reload

---------------------------------------------------

要想配置思科的防火墙得先了解这些命令：

常用命令有：nameif、interface、ipaddress、nat、global、route、static

等。

global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。

nat

地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]

其中：

(if_name)：表示接口名称，一般为inside.

nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

route

route命令定义静态路由。

语法：

route(if_name)00gateway_ip[metric]

其中：

(if_name)：表示接口名称。

00：表示所有主机

Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。缺省值是1。

static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name)outside_ip_addrinside_

ip_address

其中：

internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

outside_ip_address表示外部网络的公有ip地址。

inside_ip_address表示内部网络的本地ip地址。

(括号内序顺是先内后外，外边的顺序是先外后内)

例如：

asa(config)#static(inside，outside)133.0.0.1192.168.0.8

表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址

*********************************************************************

*****

asa#conft

asa(config)#hostnameasa//设置主机名

asa(config)#enablepasswordcisco//设置密码

配置外网的接口，名字是outside，安全级别0，输入ISP给您提供的地址就行

了。

asa(config)#interfaceGigabitEthernet0/0

asa(config)#nameifoutside//名字是outside

asa(config)#securit-level0//安全级别0

asa(config)#ipaddress*.*.*.*255.255.255.0//配置公网IP地址

asa(con关于春节的古诗 fig)#duplexfull

asa(config)

#asa(config)#noshutdown

配置内网的接口，名字是inside，安全级别100

asa(config)#interfaceGigabitEthernet0/1

asa(config)#nameifinside

asa(config)#securit-level100

asa(config)#duplexfull

asa(config)#speed100

asa(config)#noshutdown

配置DMZ的接口,名字是dmz，安全级别50

asa(config)#interfaceGigabitEthernet0/2

asa(config)#nameifdmz

asa(config)#securit-level50

asa(config)#duplexfull

asa(config)

#asa(config)#noshutdown

网络部分设置

asa(config)#nat(inside)1192.168.1.1255.255.255.0

asa(config)#global(outside)1222.240.254.193255.255.255.248

asa(config)#nat(inside)0192.168.1.1255.255.255.255//表示

192.168.1.1这个地址不需要转换。直接转发出去。

asa(config)#global(outside)1133.1.0.1-133.1.0.14//定义的地址池

asa(config)#nat(inside)100//00表示转换网段中的所有地址。定义内

部网络地址将要翻译成的全局地址或地址范围

配置静态路由

asa(config)#routeoutside00133.0.0.2//设置默认路由133.0.0.2为下

一跳

如果内部网段不是直接接在防火墙内口，则需要配置到内部的路由。

asa(config)#Routeinside192.168.10.0255.255.255.0192.168.1.11

地址转换

asa(config)#static(dmz，outside)133.1.0.110.65.1.101;静态NAT

asa(config)#static(dmz，outside)133.1.0.210.65.1.102;静态NAT

asa(config)#static(inside，dmz)10.66.1.20010.66.1.200;静态NAT

如果内部有服务器需要映射到公网地址(外网访问内网)则需要static

asa(config)#static(inside,outside)222.240.254.194192.168.1.240

asa(config)#static(inside,outside)222.240.254.194192.168.1.240

1000010//后面的10000为限制连接数，10为限制的半开连接数

ACL实现策略访问

asa(config)#access-list101permitipanyhost133.1.0.1eqwww;设置

ACL

asa(config)#access-list101permitipanyhost133.1.0.2eqftp;设置

ACL

asa(config)#access-list101denyipanyany;设置ACL

asa(config)#access-group101ininterfaceoutside;将ACL应用在outside

端口

当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。

当内部主机访问中间区域dmz时，将自己映射成自己访问服务器，否则内部主机

将会映射成地址池的IP，到外部去找。

当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.1.101，static

是双向的。

PIX的所有端口默认是关闭的，进入PIX要经过acl入口过滤。

静态路由指示内部的主机和dmz的数据包从outside口出去。

-----------------------------------------------

例子:

shrun

:Saved

:

ASAVersion8.0(2)

!

hostnameciscoasa

enablepassword2KFQnbNIdI.2KYOUencrypted

names

!

interfaceVlan1

nameifinside

security-level100

ipaddress10.115.25.1255.255.255.0

!

interfaceVlan2

nameifoutside

security-level0

ipaddress124.254.4.78255.255.255.248

!

interfaceEthernet0/0

switchportaccessvlan2

!

interfaceEthernet0/1

!

interfaceEthernet0/2

!

interfaceEthernet0/3

!

interfaceEthernet0/4

!

interfaceEthernet0/5

!

interfaceEthernet0/6

!

interfaceEthernet0/7

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

dnsdomain-lookupinside

dnsdomain-lookupoutside

access-list100extendedpermiticmpanyany

access-list100extendedpermittcpanyhost124.254.4.78eqwww

access-list100extendedpermittcpanyhost124.254.4.78eqsmtp

access-list100extendedpermittcpanyhost124.254.4.78eqpop3

access-list100extendedpermittcpanyhost124.254.4.78eqftp

access-list100extendedpermittcpanyhost124.254.4.78eqssh

access-list100extendedpermittcpanyhost124.254.4.78eq

pcanywhere-data

access-list100extendedpermitudpanyhost124.254.4.78eq

pcanywhere-status

access-list100extendedpermittcpanyhost124.254.4.78eq8086

access-list100extendedpermittcpanyhost124.254.4.78eq3389

access-list100extendedpermittcpanyhost124.254.4.78eq2401

access-list100extendedpermitipanyany

access-list100extendedpermitipanyhost124.254.4.78

pagerlines24

mtuinside1500

mtuoutside1500

icmpunreachablerate-limit1burst-size1

noasdmhistoryenable

arptimeout14400

global(outside)1interface

nat(inside)10.0.0.00.0.0.0

static(inside,outside)tcp124.254.4.78www10.115.25.2wwwnetmask

255.255.255.255

static(inside,outside)tcp124.254.4.78ftp10.115.25.2ftpnetmask

255.255.255.255

static(inside,outside)tcp124.254.4.78smtp10.115.25.2smtpnetmask

255.怀念亲人逝世的伤感句子 255.255.255

static(inside,outside)tcp124.254.4.78pop310.115.25.2pop3netmask

255.255.255.255

static(inside,outside)tcp124.254.4.78338910.115.25.23389netmask

255.255.255.255

static(inside,outside)tcp124.254.4.78808610.115.25.28086netmask

255.255.255.255

static(inside,outside)124.254.4.7810.115.25.2netmask

255.255.255.255

access-group100ininterfaceoutside

routeoutside0.0.0.00.0.0.0124.254.4.731

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02

timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat

0:05:00

timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect

0:02:00

timeoutuauth0:05:00absolute

dynamic-access-policy-recordDfltAccessPolicy

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

nocryptoisakmpnat-traversal

telnet10.115.25.0255.255.255.0inside

telnettimeout5

sshtimeout5

consoletimeo春城无处不飞花 寒食东风御柳斜 ut0

threat-detectionbasic-threat

threat-detectionstatisticsaccess-list

!

class-mapinspection_default

matchdefault-inspection-traffic

!

!

policy-maptypeinspectdnspreset_dns_map

parameters

message-lengthmaximum512

policy-mapglobal_policy

classinspection_default

inspectdnspreset_dns_map

inspectftp

inspecth323h225

inspecth323ras

inspectnetbios

inspectrsh

inspectrtsp

inspectskinny

inspectesmtp

in端午节放假2022年放几天 spectsqlnet

inspectsunrpc

inspecttftp

inspectsip

inspectxdmcp

inspecthttp

!

service-policyglobal_policyglobal

prompthostnamecontext

Cryptochecksum:deca4473c55485d04a622b1b9fca73d8

:end

ciscoasa

#-----------------------------------------------

asa5505

1.配置防火墙名

ciscoasa>enable

ciscoasa#configureterminal

ciscoasa(config)#hostnameasa5505

2.配置telnet

asa5505(config)#telnet192.168.1.0255.255.255.0inside

//允许内部接口192.168.1.0网段telnet防火墙

3.配置密码

asa5505(config)#passwordcisco

//远程密码

asa5505(config)#enablepasswordcisco

//特权模式密码

4.配置IP

asa5505(config)#interfacevlan2

//进入vlan2

asa5505(config-if)#.37.222255.255.255.192

//vlan2配置IP

asa5505(config)#showipaddressvlan2

//验证配置

5.端口加入vlan

asa5505(config)#interfacee0/3

//进入接口e0/3

asa5505(config-if)#switchportaccessvlan3

//接口e0/3加入vlan3

asa5505(config)#interfacevlan3

//进入vlan3

asa5505(config-if)#ipaddress10.10.10.36255.255.255.224

//vlan3配置IP

asa5505(config-if)#nameifdmz

//vlan3名

asa5505(config-if)#noshutdown

//开启

asa5505(config-if)#showswitchvlan

//验证配置

6.最大传输单元MTU

asa5505(config)#mtuinside1500

//inside最大传输单元1500字节

asa5505(config)#mtuoutside1500

//outside最大传输单元1500字节

asa5505(config)#mtudm端午节手抄报模板简单又漂亮 z1500

//dmz最大传输单元1500字节

7.配置arp表的超时时间

asa5505(config)#arptimeout14400

//arp表的超时时间14400秒

模式

asa5505(config)#ftpmodepassive

//FTP被动模式

9.配置域名

asa5505(config)#

10.启动日志

asa5505(config)#loggingenable

//启动日志

asa5505(config)#loggingasdminformational

//启动asdm报告日志

asa5505(config)#Showlogging

//验证配置

11.启用http服务

asa5505(config)#httpserverenable

//启动HTTPserver,便于ASDM连接。

asa5505(config)#http0.0.0.00.0.0.0outside

//对外启用ASDM连接

asa5505(config)#http0.0.0.00.0.0.0inside

//对内启用ASDM连接

12.控制列表

access-listacl_outextendedpermittcpanyanyeqwww

//允许tcp协议80端口入站

access-listacl_outextendedpermittcpanyanyeqhttps

//允许tcp协议443端口入站

access-listacl_.37.223eqftp

//允许tcp协议21端口到.37.223主机

access-listacl_.37.224eq3389

//允许tcp协议3389端口到.37.224主机

access-listacl_.37.225eq1433

//允许tcp协议1433端口到.37.225主机

access-listacl_.37.226eq8080

//允许tcp协议8080端口到.37.226主机

asa5505(config)#showaccess-list

//验证配置

13.设置路由

asa5505(config)#routedmz10.0.0.0255.0.0.010.10.10.331

//静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1

asa5505(config)#routeoutside0.0.0.00.0.0.0218.16.37.1931

//默认路由到所有网段经过.37.193网关跳数为1

asa5505#showroute

//显示路由信息

14.静态NAT

asa5505(config)#static(inside,outside).37.223192.168.1.6

netmask255.255.255.255

//外网.37.223映射到内网192.168.1.6

asa5505(config)#access-listacl_outextendedpermiticmpanyany

//控制列表名acl_out允许ICMP协议

asa5505(config)#access-groupacl_outininterfaceoutside

//控制列表acl_out应用到outside接口

asa5505(config)#static(inside,dmz)10.10.10.37192.168.1.16netmask

255.255.255.255

//dmz10.10.10.37映射到内网192.168.1.16

asa5505(config)#access-listacl_dmzextendedpermiticmpanyany

//控制列表名acl_dmz允许ICMP协议

asa5505(config)#access-groupacl_dmzininterfacedmz

//控制列表acl_out应用到dmz接口

asa5505(config)#Shownat

//验证配置

15.动态NAT

asa5505(config)#global(outside)1218.201.35.224-218.201.35.226

//定义全局地址池

asa5505(config)#nat(inside)1192.168.1.20-192.168.1.22

//内部转换地址池

asa5505(config)#showxlate

//验证配置

16.基于端口NAT（PAT）

asa5505(config)#global(outside)2interface

//定义全局地址即outside地址：.37.222

asa5505(config)#nat(inside)2192.168.1.0255.255.255.0

//内部转换地址池

asa5505(config)#showxlate

//验证配置

17.基于LAN故障倒换（failover）

1).主防火墙配置

asa5505(config)#failovermacaddroutside001a.2b3c.4d11001a.2b3c.4w12

//故障倒换虚拟MAC地址

asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w22

//故障倒换虚拟MAC地址

asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w32

//故障倒换虚拟MAC地址

asa5505(config)#failover

//启动故障倒换

asa5505(config)#failoverlanunitprimary

//设置主要防火墙

asa5505(config)#failoverlaninterfacestandbyVlan4

//故障倒换接口名standby

asa5505(config)#failoverinterfaceipstandby172.168.32.1

255.255.255.252standby172.168.32.2

//配置主防火墙IP：172.168坚韧不拔的意思 .32.1,备用防火墙IP：172.168.32.2

asa5505#showfailover

//验证配置

2).备防火墙配置

asa5505(config)#failovermacaddroutside001a.2b3c.4d11001a.2b3c.4w12

//故障倒换虚拟MAC地址

asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w22

//故障倒换虚拟MAC地址

asa5505(config)#failovermacaddrinside001a.2b3c.4d21001a.2b3c.4w32

//故障倒换虚拟MAC地址

asa5505(config)#failover

//启动故障倒换

asa5505(config)#failoverlanunitsecondary

//设置备用防火墙

asa5505(config)#failoverlaninterfacestandbyVlan4

//故障倒换接口名standby

asa5505(config)#failoverinterfaceipstandby172.168.32.1

255.255.255.252standby172.168.32.2

//配置主防火墙IP：172.168.32仿组词 .1,备用防火墙IP：172.168.32.2

asa5505#showfailover

//验证配置

18.显示mac地址

asa5505#showswitchmac-address-table

19.保存配置

asa5505#writememory