三、實(shí)驗(yàn)過程

1. ASA 5505基本配置：

ciscoasa>

ciscoasa> enable

Password:

ciscoasa#

ciscoasa# configure terminal

ciscoasa(config)# interface vlan44        *建立ID為44的虛擬局域網(wǎng)（vlan）

ciscoasa(config-if)# nameif dmz         *把vlan44的接口名稱配置為dmz

ciscoasa(config-if)# security-level 50     *配置dmz 安全級(jí)別為50

ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0  *給vlan44配置IP地址

ciscoasa(config-if)# interface vlan33            *建立ID為33的虛擬局域網(wǎng)（vlan）

ciscoasa(config-if)# nameif inside     *把vla33的接口名稱配置為inside，并指定安全級(jí)別，安全級(jí)別取值范圍為1～100，數(shù)字越大安全級(jí)別越高。在默認(rèn)情況下，inside安全級(jí)別為100。

INFO: Security level for "inside" set to 100 by default.

ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0  *給vlan33配置IP地址

ciscoasa(config-if)# exit

ciscoasa(config)# interface ethernet0/2        *進(jìn)入e0/2接口的配置模式

ciscoasa(config-if)# switchport access vlan 44  *把e0/2接口劃分到vlan22中

ciscoasa(config-if)# speed auto              *設(shè)置e0/2接口的速率為自動(dòng)協(xié)商

ciscoasa(config-if)# duplex auto             *設(shè)置e0/2接口的工作模式為自動(dòng)協(xié)商

ciscoasa(config-if)# no shutdown            *打開e0/2接口

ciscoasa(config-if)# interface e0/0            *進(jìn)入e0/1接口的配置模式

ciscoasa(config-if)# switchport access vlan 33  *把e0/0接口劃分到vlan33中

ciscoasa(config-if)# speed auto              *設(shè)置e0/0接口的速率為自動(dòng)協(xié)商

ciscoasa(config-if)# duplex auto             *設(shè)置e0/0接口的工作模式為自動(dòng)協(xié)商

ciscoasa(config-if)# no shutdown            *打開e0/0接口

ciscoasa(config-if)# exit

ciscoasa(config)#

2. ASA 5505本身接口的連通性測(cè)試

①測(cè)試防火墻本身vlan44接口連通性

ciscoasa# ping 11.0.0.1

Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

②測(cè)試防火墻本身vlan33接口連通性

ciscoasa# ping 192.168.0.211

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:

!!!!!

3. 配置PC：

具體網(wǎng)絡(luò)參數(shù)如拓?fù)鋱D所示。

4 配置DMZ Server：

1) 具體網(wǎng)絡(luò)參數(shù)如拓?fù)鋱D所示；

2) 配置為WWW服務(wù)器和FTP服務(wù)器。

5. dmz區(qū)服務(wù)器和PC測(cè)試連通性：

①測(cè)試防火墻到dmz服務(wù)器的連通性

ciscoasa# ping 11.0.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

②測(cè)試防火墻到內(nèi)網(wǎng)PC的連通性

ciscoasa# ping 192.168.0.212

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.0.212, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

6. 設(shè)置內(nèi)部網(wǎng)絡(luò)inside到外部網(wǎng)絡(luò)outside的訪問：

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0   *nat是地址轉(zhuǎn)換命令，將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)公網(wǎng)ip；用來定義那些主機(jī)需要進(jìn)行出站地址轉(zhuǎn)換。“nat (inside) 1 0.0.0.0 0.0.0.0” 表示內(nèi)網(wǎng)的所有主機(jī)(0 0)都可以訪問由global指定的外網(wǎng)。

ciscoasa(config)# show running-config nat    *查看防火墻的nat配置

nat (inside) 1 0.0.0.0 0.0.0.0                *nat配置信息

ciscoasa(config)# global (dmz) 1 interface   *使用nat命令后，必須使用global命令定義用于轉(zhuǎn)換的IP地址范圍。“global (dmz) 1 interface”指定PAT使用dmz接口上的IP地址進(jìn)行出站轉(zhuǎn)換連接。

INFO: dmz interface address added to PAT pool

ciscoasa(config)# show running-config global   *查看防火墻的global配置

global (dmz) 1 interface                    *global配置信息

ciscoasa(config)# write memory             *保存配置信息

Building configuration...

Cryptochecksum: de59f584 8409efb6 22165e2b 21be55fe

1974 bytes copied in 1.420 secs (1974 bytes/sec)

[OK]

ciscoasa(config)#

7. 從PC 訪問DMZ 服務(wù)器：

http:\\11.0.0.2

ftp:\\11..0.0.2

8. 查看地址轉(zhuǎn)換表：

ciscoasa(config)# show xlate

9. 實(shí)驗(yàn)完成后請(qǐng)刪除配置文件信息，

ciscoasa(config)# write erase                *刪除配置文件信息

Erase configuration in flash memory? [confirm]

[OK]