ASA5510配置手册.docx

ASA5510配置手册2010-12-23 14:52ASA5510 配置手册使用console连接线登录方法1.使用cisco专用com连接线，连接设备的console口和计算机com口2.使用超级终端或secureCRT软件连接设备串行选项： 波特率：9600 数据位：8 奇偶校验：无 停止位：1 数据流控制: RTS/CTS3.输入en,提示输入密码show run 查看设备当前配置configure ter 进入配置模式，输入前提示 设备名(config)#1. 设置主机名：#hostname szhndasa2. 设置时区：szhndasa#clock timezone EST 73. 设置时钟：Szhndasa#clock set 15:45:30 28 FEB 20084. 配置内接口 IPSzhndasa#int Ethernet 0/0Szhndasa#nameif insideSzhndasa#security-level 100Szhndasa#ip address 54 5 配置外部接口IPSzhndasa#int Ethernet 0/1Szhndasa#nameif outsideSzhndasa#security-level 0Szhndasa#ip address 210.X.X.X 486.配置用户名和密码Szhndasa#username admin password * encryptedprivilege 15 注：15 表示有最高权限7.配置HTTP 和TELNETSzhndasa#aaa authentication telnet console LOCALSzhndasa#http server enableSzhndasa#http insideSzhndasa#telnet inside8.配置site to site vpncrypto map outside_map 20 match address outside_cryptomap_20_1crypto map outside_map 20 set pfscrypto map outside_map 20 set peer 210.75.1.Xcrypto map outside_map 20 set transform-set ESP-3DES-SHAcrypto map outside_map 20 set nat-t-disablecrypto map outside_map interface outsideCisco清除配置使用：erase startup-config（删除NVRAM中的内容），然后重启路由器 reload；华为清除配置使用：reset saved-configuration，重启路由器 reboot；Cisco路由器、交换机口令恢复专题：/CMS/Pub/special/special_password/index.htm选择性通告路由：如在RIP设置中，让S0端口只收不发RIP通告。Router(config)#router ripRouter(config-router)#passive-interface serial 0关于快捷键:ctrl+b(backward) 光标左移一个字符ctrl+f(foreward) 光标右移一个字符ctrl+a(a是?) 光标移到命令开头ctrl+e(end) 光标移到命令末端esc+b (backward) 光标左移一个词esc+f (foreward) 光标右移一个词ctrl+z 一次性退出特权模式 Router# 关于模式:用户模式(user execution mode),特权模式(privilege execution mode),全局配置模式(global configuration mode),以及在全局配置模式下的具体配置模式(如路由接口配置模式,路由子接口配置模式,路由协议配置模式,line配置模式等)模式的转换:连接路由后首先进入的是用户模式,特征是有符号,用户模式只能查找路由的配置和状态,不能配置路由,需要配置路由必须进入特权模式,进入特权模式的命令是:enable 若有密码,需要正确密码才能进入,进入特权模式,其特征是有符号#.从特权模式进入路由全局配置模式命令是:configure terminal从全局配置模式进入各个具体配置模式的命令如下:特权模式-路由接口配置模式interface serial?(串口)interface ethernet?(以太网口)特权模式-路由子接口配置模式subinterface特权模式-路由协议配置模式route rip特权模式-line配置模式line vty ? ?以下是各个模式下的命令以及用法:用户模式:Routershow ping telnet connect的用法和特权模式一样特权模式:Router#show users 查看连接到路由器的所有用户show hosts 查看ip和名字的映射表show arp 查看ip地址解释show protocol 查看路由器的协议show version 查看ISO的版本,内存show flash 查看flash使用状况show clock 查看路由器的时间show history 查看最近输入的十个命令show ip interface brief 查看接口的ip设置和状态show interfaces 查看路由器所有端口的状态show interfaces 具体端口 查看路由器特定端口的状态show running-config 查看在RAM中的配置文件show startup-config 查看在NVRAM中的配置文件show cdp 查看cdp的信息show cdp entry ?(router) 查看特定的邻近连接的路由器show cdp neighbors 查看所有邻近连接的路由器show cdp neighbors detail 查看所有邻近连接的路由器详细信息show cdp traffic 查看cdp数据包的信息show cdp ?(端口号) 查看特定端口的cdp信息show session 远程登陆下查看原路由器的状态clear cdp counters 清除CDP计数器clear cdp table 清除CDP信息copy running-config startup-config 把在RAM中的配置文件复制到NVRAM中copy startup-config running-config 把在NVRAM中的配置文件复制到RAM中copy tftp running-config 把tftp服务器的配置文件传到RAM中copy running-config tftp 把RAM中的配置文件传到tftp服务器ping ?(名字或ip) 检查路由器与远端路由器的连通性telnet ?(名字或ip) 远程登陆路由器(需要登陆密码)connect ?(名字或ip) 和telnet一样traceroute ?(名字或ip) 查看经过的路由全局配置模式:Router(config)#hostname ?(名字) 更改路以下是引用片段：ASA5510# SHOW RUN: Saved:ASA Version 7.0(6)!hostname ASA5510enable password 2KFQnbNIdI.2KYOU encryptednamesdns-guard!interface Ethernet0/0 此接口为外部网络接口nameif outside 设置为 OUTSIDE 外部接口模式security-level 0 外部接口模式安全级别为最低 0ip address 34 添加外部IP地址 （一般为电信/网通提供）!interface Ethernet0/1此接口为内部网络接口nameif inside设置为 INSIDE 内部接口模式security-level 100内部接口模式安全级别最高为 100ip address 添加内部IP地址!interface Ethernet0/2 没用到shutdownno nameifno security-levelno ip address!interface Management0/0nameif managementsecurity-level 100ip address 没用，用网线连接管理的端口。management-only!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivepager lines 24logging asdm informationalmtu outside 1500mtu inside 1500mtu management 1500no asdm history enablearp timeout 14400global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT IDnat (inside) 1 转换所有 的内部地址route outside 54 1 缺省路由timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolutehttp server enable 打开http serverhttp management 限定能通过http方式访问防火墙的机器no snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0dhcpd address 0-00 inside DHCP 自动提供分配范围为0200dhcpd address -54 managementdhcpd dns DNS 添加：可以是电信网通提供 直接添加，或者自己的DNS服务器地址。dhcpd lease 3600dhcpd ping_timeout 50dhcpd domain suzhou.jy 域名dhcpd enable inside 打开内部网段自动分配dhcpd enable managementCryptochecksum:6148633dac00f8f7a3418833f98d5ad4access-group icmp_in in interface outside 这两句表示，access-list icmp_in extended permit icmp any any 允许PING包发送或接收: end本篇文章来源于 电脑知识网() 原文出处：/zt/fanghuoqiang/200907/7164.htmlASA防火墙配置SSH正确方法2008年09月22日 星期一 21:12ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:调试电脑必须与防火墙在通一个网段(有待观察)/配置服务器端ciscoasa(config)#crypto key generate rsa modulus 1024 /指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.ciscoasa(config)#write mem /保存刚刚产生的密钥ciscoasa(config)#ssh outside / 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙ciscoasa(config)