ASA常用命令

asa配置手册一些基础配置，个人工作学习中的一点整理，如有错误请指正，谢谢。

#设置主机名：(config)#hostname dust#设置时区：dust(config)#clock timezone EST 7#设置时钟：dust#clock set 15:45:30 28 FEB 2008#配置内接口 IPdust(config)#int Ethernet 0/0dust(config-if)#nameif insidedust(config-if)#security-level 100dust(config-if)#ip address 192.168.88.254 255.255.255.0#配置外部接口IPdust(config)#int Ethernet 0/1dust(config-if)#nameif outsidedust(config-if)#security-level 0dust(config-if)#ip address 210.X.X.X 255.255.255.248#配置用户名和密码dust(config)#username admin password ********* privilege 15 注：15 表示有最高权限#配置HTTP 和TELNETdust(config)#aaa authentication telnet console LOCALdust(config)#http server enabledust(config)#http 192.168.88.0 255.255.255.0 insidedust(config)#telnet 192.168.88.0 255.255.255.0 inside#配置SSH接入：dust(config)#crypto key generate rsa modulus 1024dust(config)#aaa authentication ssh console LOCALdust(config)#ssh 192.168.88.0 255.255.255.0 insidedust(config)#ssh 0 0 outsidedust(config)#ssh timeout 30dust(config)#ssh version 2#配置ASDM(自适应安全设备管理器)接入：dust(config)#http server enable 8080dust(config)#http 192.168.88.0 255.255.255.0 insidedust(config)#http 0 0 outsidedust(config)#asdm image disk0:/asdm-621.bindust(config)#username dust password ccie privilege 15#动态NAT：dust(config)#nat-controldust(config)#nat (inside) 1 192.168.10.0 255.255.255.0dust(config)#nat (inside) 1 0 0dust(config)#global (outside) 1 interfacedust(config)#global (dmz) 1 192.168.202.100-192.168.202.110#静态NATdust(config)#static (dmz.outside) 210.10.10.253 192.168.202.1dust(config)#access-list ccie extended permit tcp any host 210.10.10.253 eq wwww dust(config)#access-group ccie in interface outside#配置ACLdust(config)#access-list ccie extended deny ip 192.168.201.0 255.255.255.240 any dust(config)#access-list ccie extended permit ip any anydust(config)#access-group ccie in interface inside#ICMP协议dust(config)#icmp deny any echo outsidedust(config)#icmp permit any outsidedust(config)#access-list 111 permit icmp any any echo-reply dust(config)#access-list 111 permit icmp any any unrechable dust(config)#access-list 111 permit icmp any any time-exceededdust(config)#access-group 111 in interface outside#配置默认路由dust(config)#route ouside 0.0.0.0 0.0.0.0 220.1.1.1 1#配置DHCP服务器dust(config)#dhcpd address 192.168.10.50-192.168.10.100 insidedust(config)#dhcpd enable insidedust(config)#dhcpd dns 202.102.192.68 insidedust(config)#dhcpd lease 86400 interface insidedust(config)#dhcpd option xx ip 192.168.10.10#保存配置dust#write memory 或copy running-config startup-config #清除配置dust(config)#clear configure alldust(config)#clear configure xxx xxxasa remote vpn#在outside接口上启用isakampdust#configure terminaldust(config)#crypto isakmp enable outside#创建一个isakmp策略dust(config)#crypto isakmp policy 1dust(config-isakmp-policy)#authentication pre-sharedust(config-isakmp-policy)#encryption desdust(config-isakmp-policy)#hash md5dust(config-isakmp-policy)#group 2dust(config-isakmp-policy)#lifetime 86400#配置组策略dust(config)#group-policy mypolicy internaldust(config)#group-policy mypolicy attributesdust(config-group-policy)#vpn-tunnel-protocol ipsecdust(config-group-policy)#split-tunnel-policy tunnelspecifieddust(config-group-policy)#nem enable#定义地址池dust(config)#ip local pool vpn-pool 192.168.88.110-192.168.88.120#定义隧道组dust(config)#tunnel-group cisco type remote-accessdust(config)#tunnel-group cisco general-attributesdust(config-tunnel-general)#address-pool vpn-pooldust(config-tunnel-general)#authentication-server-group (outside) LOCAL dust(config-tunnel-general)#default-group-policy mypolicydust(config-tunnel-general)#tunnel-group cisco ipsec-attributesdust(config-tunnel-ipsec)#pre-shared-key cisco#配置转换集dust(config)#crypto ipsec transform-set ccsp esp-des esp-md5-hmacdust(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac#添加本地帐户dust(config)#username user01 password adminabcdust(config)#username user02 password admindec#定义映射集,并应用到外部接口dust(config)#crypto dynamic-map dyn-map 10 set transform-set ccsp ciscodust(config)#crypto dynamic-map dyn-map 10 set reverse-routedust(config)#crypto map cisco 60001 ipsec-isakmp dynamic dyn-mapdust(config)#crypto map cisco interface outside#配置分离隧道dust(config)#access-list split_list standard permit 192.168.88.0 255.255.255.0 dust(config)#group-policy mypolicy attributesdust(config-group-policy)#split-tunnel-policy tunnelspecifieddust(config-group-policy)#split-tunnel-network-list value split_listdust(config-group-policy)#dns-server value 202.102.192.68 8.8.8.8#放行访问列表dust(config)#access-list 100 extended permit ip 192.168.88.0 255.255.255.0 192.168.88.0 255.255.255.0dust(config)#access-list 111 extended permit icmp any any echo-replydust(config)#access-list 111 extended permit icmp any any unreachabledust(config)#access-list 111 extended permit icmp any any time-exceededdust(config)#nat (inside) 0 access-list split_listdust(config)#access-group 111 in interface outsidedust(config)#access-group 100 in interface outsidedust(config)#access-group 100 in interface inside#查看被asp和acl drop的包dust(config)# show asp drop frame acl-drop客户端连接时，地址为outside的IP，组名为cisco 密码为cisco。

xx局A V AY A交换机管理命令登入ASA 管理软件双击图标进入ASA 按回车按键进入下面一个界面登陆: admin 回车确认密码：Avaya1234 （都小写）PIN: avaya123 (小写) 回车确认类型选择：4410 回车确认进入命令窗口command:帮助按键：F1 退出（不保存）F3 保存（确认）F7 下一页F8上一页分机管理功能1）增加分机命令：ADD STATION XXXX (xxxx为分机号码)Eg : add station 8888Type :callrid (模拟电话类型为callrid ) IP 话机类型为9640 本次项目使用1608的話机类型Port：01A1010 (物理板卡端口地址此地址为配线表端口号的地址)STATIONType: callrid Lock Messages? n COR: 1Port:x Security Code: COS: 12）修改分机命令：CHAN STA TION XXXX修改分机端口分机权限COR 0为内线 1为市话2国内3国际本次默认都是国际Type: callrid Lock Messages? n COR: 0 为内线1为市话2国内3国际Port: 01A1011 Security Code: COS: 1FEATURE OPTIONSLWC Reception: msa-spe Auto Select Any Idle Appearance? n LWC Activation? y Coverage Msg Retrieval? y CDR Privacy? n Auto Answer: none Redirect Notification? y Data Restriction? n Per Button Ring Control? n Idle Appearance Preference? n修改分机端口修改分机类型修改分机权限都在这个命令下修改3）删除分机命令：REMOVE STATION XXXX4）察看分机权限COR 值命令：1）display station xxxx 2)在表里有个COR值这个用来定义出局的权限。

asa防火墙命令一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意：security-level 配置安全级别。

默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令：#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

CISCOASA常用命令CISCO ASA 防火墙常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

Cisco ASA 命令总结Cisco ASA 命令总结2014-12-11 思科企业网络 阅读 6091.清除现有所有配置：clear configure all2.基础配置wr保存配置hostname asa主机名enable password xxxxx特权密码passwd xxxxx远程密码3.设置网卡interface GigabitEthernet0/0nameif outsidesecurity-level 0-100duplex fullspeed 100ip address 192.168.100.188 255.255.255.0no shutdown4.设置ssh登录：ssh 0.0.0.0 0.0.0.0 outsidessh 0.0.0.0 0.0.0.0 insidessh timeout 30aaa authentication ssh console LOCAL设置SSH使用本地用户认证username xxx password xxx添加一个本地用户admin,并为其设置密码,同样可以更改密码show aaa local user查看当前本地用户5.默认路由设置：route outside-1 0.0.0.0 0.0.0.0 124.xx.xx.193 1 124.xx.xx.193为运营商的给的网关6.nat 设置：静态nat：hostname(config)# object network myWebServ定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网需要映射出去的Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.10动态nat：hostname(config)# object network myNatPool定义一个object,这个特殊地方是个Ip池hostname(config-network-object)# range 209.xx.201.20 209.xx.201.30ip池范围hostname(config)# object network myInsNet定义一个内网的objecthostname(config-network-object)# subnet 10.1.2.0 255.255.255.0内网地址范围hostname(config-network-object)# nat (inside,outside) dynamic myNatPool或者 nat (inside,outside-1) dynamic interfacehostname(config)# object network myWebServ定义一个web服务器的objecthostname(config-network-object)# host 209.xx.xx.12这里和静态nat 不同是外网Iphostname(config-network-object)# nat (outside,inside) static 10.1.2.20注意括号里面inside 和outside 变换了位置端口nat：hostname(config)# object network FTP_SERVER定义一个objecthostname(config-network-object)# host 10.1.2.27此为内网Iphostname(config-network-object)# nat (inside,outside) static 209.xx.xx.3 service tcp ftp ftp 对应外网Ip7.ACL 设置：在ASA上配置ACL有两个作用：一是允许入站连接；二是控制出战连接的流量标准ACL：asa（config）#access-list acl-name [standrad] {permit | deny } ip_addr maskaccess-list out_to_in permit ip host 172.16.1.1 host 10.1.1.1扩展ACL：Asa（config）#access- list acl_name [extended] {permit | deny } protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]access-list out-in-ser extended permit tcp any host 192.168.1.141 eq https将ACL应用到接口：asa（config）#access-group acl_name {in | out} interface interface_nameaccess-list aa extended permit tcp any host 192.168.10.88access-list aa extended permit tcp any object obj-192.168.10.6 eq wwwaccess-list aa extended permit tcp any object obj-192.168.10.6 eq httpsaccess-list aa extended permit tcp any object obj-192.168.10.8 eq 3306access-list aa extended permit tcp any object obj-192.168.10.171 eq 797access-list aa extended permit tcp any object obj-192.168.10.171 eq 873access-list aa extended permit tcp any object obj-192.168.10.169 eq 78788.允许ping：access-list my-list extended permit icmp any any9.开启snmpsnmp-server host inside 192.168.100.210 community publicinsid后面跟的IP是你监控机器的IP,community是公用提名,建议不要用public。

ASA命令介绍:一、基本配置1、显示ASA版本信息ciscoasa# show version2、配置主机名ciscoasa(config)# hostname asa8023、配置域名asa802(config)# domain-name 4、配置密码a、配置特权密码asa802(config)# enable password asa802b、配置远程登陆(telnet、SSH）密码asa802(config)# passwd cisco5、配置接口a、配置接口IP地址asa802(config-if)# ip address 192.168.1.1 255.255.255.0b、配置接口名字asa802(config-if)# nameif namec、配置接口安级级别asa802(config-if)# security-level number6、查看接口信息asa802(config-if)# show run interface(不必要在特权下)7、查看IP信息asa802(config-if)# show ip address(show ip)8、配置静态路由asa802(config)# route interface-name network mask next-hop-address 9、查看路由表asa802# show route10、配置远程管理接入a、配置Telnet接入----明文传输asa802(config)# telnet {network|ip-address} mask interface-name 注：ASA不允许telnet流量从安全级别为0的接口进入b、配置SSH(安全的telnet加密传输)接入(3个步骤)步骤1：配置主机名和域名步骤2：生成RSA密钥对(公钥和私钥)asa802(config)# crypto key generate rsa modulus 1024步骤3：配置防火墙允许SSH接入asa802(config)# ssh 192.168.0.0 255.255.255.0 insideasa802(config)# ssh 0 0 outside配置空闲超时时间与版本(可选)asa802(config)# ssh timeout 30asa802(config)# ssh version 2c、配置ASDM(ASA安全设备管理器)接入asa802(config)# http server enableasa802(config)# http 192.168.0.0 255.255.255.0 insideasa802(config)# asdm image disk0:/asdm-602.binasa802(config)# username benet password cisco privilege 1511、配置网络地址转换(NAT)a、配置PAT(2个步骤）---把多个私网地址转换成1个公网地址,多对少的转换步骤1：定义什么流量需要被转换asa802(config)# nat （interface_name） nat-id local-ip mask 步骤2:定义全局地址池(也可转到外部接口)asa802(config)# global （interface_name） nat-id {global-ip [-global-ip] |interface}b、配置Staticasa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip注:从低到高需要通过ACL放行相应的流量c、查看NAT的转换条目asa802(config)#show xlate12、配置ACLa、标准ACLasa802(config)#access-list acl_name standard {permit | deny}ip_addr maskb、扩展ACLasa802(config)# access-list acl_name extended {permit | deny}protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]c、将ACL应用到接口asa802(config)# access-group acl_name {in | out} interface interface_name12、清空当前ASA相关协议配置asa802(config)#clear config route|static|nat|global13、清空当前ASA所有配置asa802(config)#clear config all--------------------------------------------------------二、ASA的高级应用1、配置URL(统一资源定位符）过滤(4个步骤)步骤1：定义Regex(正则表达式)-定义URL匹配的字符串asa802(config)# regex url1 "\.sohu\.com"---""步骤2：创建class-map(类映射)-识别传输流量，分类流量asa802(config)# access-list tcp_filter permit tcp 192.168.10.0255.255.255.0 any eq wwwasa802(config)# class-map tcp_filter_classasa 802(config-cmap)# match access-list tcp_filter-------------------------------------------------------------------------------------------------asa802(config)# class-map type inspect http http_class--------把字符串划分类asa802(config-cmap)# match request header host regex url1 步骤3：创建policy-map(策略映射)-针对不同的类执行不同的操作 asa802(config)# policy-map type inspect http http_url_policy-----带http 检测类型的策略映射asa802(config-pmap)# class http_classasa802(config-pmap-c)# drop-connection log ---同时产生日志信息-----------------------------------------------------------------------------------------------------asa802(config)# policy-map inside_http_url_policy ---标准的策略映射asa802(config-pmap)# class tcp_filter_classasa802(config-pmap-c)# inspect http http_url_policy步骤4：应用policy-map应用接口上asa802(config)# service-policy inside_http_url_policy interface inside2、配置日志管理服务器(三种方式）第一种：本地Buffer保存日志asa802(config)# logging enableasa802(config)# logging buffered informational 第二种：配置ASDM日志asa802(config)# logging enableasa802(config)# logging asdm informational 第三种：配置日志服务器asa802(config)# logging enableasa802(config)# logging trap informationalasa802(config)# logging host inside 192.168.10.13、配置ASA安全特性a、基本威胁检测asa802(config)# threat-detection basic-threatb、防范IP分攻击asa802(config)# fragment chain 1c、启用IDS(入侵检测系统)功能(可选)。

ASA_8.3基本配置1.ASDM图形界面基本配置步骤：1）在asa上面开启hhtps服务，命令如下：ciscoasa(config)# http server enable（开启http服务）ciscoasa(config)# http 10.10.0.0 255.255.0.0 inside（指定可网管的地址，必须配置，不然无法网管）ciscoasa(config)# aaa authentication http console LOCAL(为asdm网管启用AAA认证，LOCAL为内建的AAA服务器的名字，采用本地认证，名字区分大小写；console只是一个关键字不是console口) 2）给asa配置管理地址，命令如下：ciscoasa(config)# interface e 0/1ciscoasa(config-if)# nameif insideciscoasa(config-if)# ip add 10.10.10.10 255.255.255.0ciscoasa(config-if)# no shutdown3）配置管理asa的用户名密码，命令如下：ciscoasa(config)#username admin password admin privilege 15 4）使用火狐浏览器在地址栏输入asa的管理地址，如下：https://10.10.10.10根据提示安装java，进入asdm管理界面。

注意：java安装完后，重新输入上面地址，运行asdm可能会提示java安全阻止该程序运行的问题。

解决办法是到java安全设置里面把上述地址加入可信任站点里面。

步骤：控制面板→程序→java→安全→编辑站点列表→输入https://10.10.10.10→添加。

2.ASA初始化配置1）配置SSH远程登录命令：ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.ciscoasa(config)#write mem //保存刚刚产生的密钥ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口ciscoasa(config)username admin password admin privilege 15 //为SSH登录配置账密ciscoasa(config)#aaa authentication ssh console LOCAL //为ssh登录启用aaa认证采用本地数据库认证2）给接口命名并指定ip地址和安全级别说明：①安全级别相同接口之间的流量默认不通，可配置放行，命令如下：ciscoasa(config)# same-security-traffic permit inter-interface（放行安全级别相同接口之间的流量）ciscoasa(config)# same-security-traffic permit intra-interface （放行从一个接口先进然后又从同一个接口出的流量）②从安全级别高的到低的流量为outbound流量，默认放行；从低安全级别到高安全级别的流量为inbound流量，默认阻塞。

name 172.16.0.0 Client description neibujisuanji//把ip地址进行文字命名，可以在acl里调用的时候用命名来代替地址。

name 172.16.136.11 a-136.11// 例如将172.16.136.11 用命名“a-136.11”来替代，a代表接入层。

name 172.16.101.30 a-101.30name 172.16.101.0 jisuanjishi description jisuanjishiname 172.16.153.161 a-153.161name 172.16.153.162 a-153.162name 172.16.153.163 a-153.163name 172.16.147.78 a-147.78name 172.16.101.54 a-101.54name 172.16.153.160 a-153.160name 172.16.153.164 a-153.164name 172.16.153.26 a-153.26name 172.16.101.12 a-101.12name 202.106.73.101 pat_testname 172.16.143.55 guke-caixuname 172.16.101.32 specialusename 172.16.133.40 yaopinbuliangname 172.16.146.189 a-146.189name 172.16.101.50 tempname 172.16.130.68 sunkainame 211.103.242.13 pla-libaryname 172.16.103.213 zjpname 172.16.134.187 zzjname 172.16.185.21 guojihuiyi description chengpengdns-guard!interface Ethernet0/0nameif outsidesecurity-level 0//设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

NAT(ASA)基本命令配置：ciscoasa(config)# inter e0/0ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# security-level 100ciscoasa(config-if)# inter e0/1ciscoasa(config-if)# ip add 192.168.2.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# inter e0/2ciscoasa(config-if)# ip add 202.100.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# security-level 0ciscoasa(config-if)#ciscoasa(config)# route outside 100.1.1.0 255.255.255.0 202.100.1.1 inside(config)#inter f0/0inside(config-if)#ip add 192.168.1.1 255.255.255.0inside(config-if)#no shinside(config-if)#exinside(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254inside(config)#dmz(config)#inter f0/0dmz(config-if)#ip add 192.168.2.1 255.255.255.0dmz(config-if)#no shdmz(config-if)#exdmz(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254dmz(config)#dmz(config)#line vty 0 4dmz(config-line)#no logindmz(config-line)#dmz(config)#ip http serveroutside(config)#inter f0/0outside(config-if)#ip add 202.100.1.1 255.255.255.0outside(config-if)#no shoutside(config-if)#outside(config)#inter lo 1outside(config-if)#ip add 100.1.1.1 255.255.255.0outside(config)#outside(config)#line vty 0 4outside(config-line)#no login在ASA 的防火墙上，nat后面接的IP地址为内网的私有IP地址。

ASA配置命令(config)#hostname asa802 配置主机名(config)#domain-name 配置域名(config)#enable password asa802 配置特权密码(config)#passwd cisco 配置远程登录密码（TELNET，SSH）(config-if)#nameif inside 配置接口名字(config-if)#security-level 100 安全级别（0-100）(config)#route接口名目标网段和掩码下一跳配置路由#show route 查看路由表配置TELNET接入(config)#telnet(network|ip-address) mask interface-name例: (config)#telnet 192.168.0.0 255.255.255.0 inside 允许192.168.0.0/24 telnet (config)#telnet timeout minutes（1~1440分钟默认5分钟）配置空闲超时时间配置SSH接入（1）为防火墙分配一个主机名和域名，因为生成RSA密匙对需要用到主机名和域名（2）生成RSA密匙对（config）#crypto key generate rsa modulus （512 | 768 | 1024 | 2048）（3）配置防火墙允许SSH接入(config)#ssh 192.168.0.0 255.255.255.0 inside (config)#ssh version（1|2）SSH版本(config)#ssh timeout 30 配置SSH超时(config)#show ssh session查看SSH会话配置ASDM接入（自适应安全设备管理器）（1）启用防火墙HTTPS服务器功能(config)#http server enable (port) 默认使用443端口（2）配置防火墙允许HTTPS接入(config)#http {network|ip-address} mask interface-name（3）指定ASDM映像的位置(config)#asdm image disk0：/asdmfile（4）配置客户端登录使用的用户名和密码(config)#username user password password privilege 15客户端使用ASDM步骤（1）从网站下载安装jiava runtime environment （JRE），这里下载的是jre-6u10-windows-i586-p.exe(2) 在主机PC1上启动IE浏览器，输入ASA的IP地址NA T网络地址转换(config)#nat (interface_name) id local_ip mask(启用nat-control，可以使用nat0 指定不需要被转换的流量)如：(config)#nat（inside）1 192.168.0.0 255.255.255.0GLOBAL命令(config)#global (interface-name) nat-id (global-ip 【-global-ip】)如: (config)#global (outside) 1 200.1.1.100-200.1.1.150(config)#global （outside）1 Internet查看地址转换条目show xlate配置ACL(config)#access-list in_to_out deny ip 192.168.0.0 255.255.255.0 any应用到接口(config)#access-group in_to_out in interface inside启用nat-control后从低安全级别访问高安全级别要配置NA T规则Static NAT (config)#static (dmz,outside) 200.1.1.253 192.168.1.1如要让外网的主机访问DMZ的WEB站点(config)#static (dmz,outside) 200.1.1.253 192.168.1.1(config)#access-list out_to_dmz permit tcp any host 200.1.1.253 eq www(config)#access-group out_to_dmz in interface outsideICMP协议(config)#access-list 100 permit icmp any any echo-reply(config)#access-list 100 permit icmp any any echo-unreachable(config)#access-list 100 permit icmp any any time-exceeded(config)#access-group 100 in interface outsideURL过滤1)配置ACL(config)#access-list tcp_filter permit tcp 192.168.0.0 255.255.255.0 any eq www2)定义类关联到ACL(config)#class-map tcp_filter_class(config-cmap)#match access-list tcp_filter(config-cmap)#exit3)正则表达式(config)#regex url1 “\.out\.com”定义名为url1的正则表达式URL后缀是 4)类,关联正则表达式(config)#class-map type regex match-any url_class(config-camp)#match regex url1(config-camp)#exit5)类检查(config)#class-map type inspect http http_url_class(config-camp)#match not request header host regex class url_class(config-camp)#exit6)创建策略检查项(config)#policy-map type inspect http http_url_policy(config-pmap)#class http_url_class(config-pmap-c)#drop-connection log drop数据包并关闭连接，并发送系统日志(config-pmap-c)#exit(config-pmap)#exit7)策略关联类(config)#policy-map inside_http_url_policy(config-pmap)#class tcp_filter_class(config-pmap-c)#inspect http http_url_policy(config-pmap-c)#exit(config-pmap)#exit8)应用到接口(config)#service-policy inside_http_url_policy interface inside保存配置#write memory#copy running-config startup-config清除所有配置(config)#clear configure all清除access-list(config)#clear configure access-list配置日志Log buffer (config)#l ogging enable(config)#logging buffered informational （级别）清除(config)#clear logging bufferASDM日志(config)#logging enable(config)#logging asdm informational清除(config)#clear longing asdm配置日志服务器(config)#logging enable(config)#logging trap information(config)#logging host inside 192.168.1.1ASA基本威胁检测(config)#threat-detection basic-threat禁止IP分片通过(config)#fragment chain 1启用IDS功能(config)#ip audit name name (info|attack) {action [alarm] [drop] [reset] } Alarm对info和attack消息进行警告，信息会出现在syslog服务器上Reset 丢弃数据包并关闭连接Action定义策略采取的动作如：(config)#ip audit name inside_ids_info info action alarm (config)#ip audit name inside_ids_attack attack action alarm(config)#ip audit interface inside inside_ids_info(config)#ip audit interface inside inside_ids_info关闭ID为2000的签名(config)#ip audit signature 2000 disable启用ID为2000的签名(config)#no ip audit signature 2000 disableIPSec VPNISAKMP/IKE阶段1的配置命令建立ISAKMP管理连接策略Router(config))#crypto isakmp policy {1-10000}指定管理连接建立的最后两个数据报文采用何种加密方式Router (config-isakmp)#crypto {des | 3des | aea}HASH命令指定验证过程采用HMAC的功能Router (config-isakmp)#hash {sha｜md5}指定设备身份验证的方式Router (config-isakmp)#euthentication {pre-share | rea-encr | rsa-sig}指定DH密匙组，默认使用DH1Router (config-isakmp)#group {1 | 2 | 5}指定管理连接的生存周期，默认为86400s（24小时）(Router config-isakmp)#lifetime seconds查看上述配置#show crypto isakmp policy配置预共享密钥Router(config))#crypto isakmp key {0 | 6} keystrin g address peer-address {subnet_mask}➢0表示密钥为明文，6表示密钥被加密➢Keystring表示密钥的具体内容➢Peer-address表示对端与之共享密钥的对等体设备地址➢Subnet_mask在这里为可选命令，如没有指定，默认使用255.255.255.255作为掩码显示密钥是明文还是密文#Show crypto isakmp key加密预共享密钥Router(config))#key config-key password-encryptNew key: (最少为8为字母)Confirm key:Router(config))#password encryption aes使用show run可以看到加密后的效果ISAKMP/IKE阶段2的配置命令(1) 配置crypto ACL (通常两端对端设备上的crypto ACL互为镜像) Router(config))#access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard(2) 配置阶段2的传输集Router(config))#crypto ipsec transform-set transform_set_name transform1[transform2 [transform3]Router (cfg-crypto-tran)#mode { tunnel | transport }➢Transform_set_name为传输集的名称，该名称具有唯一性，不能与其他任何传输集相同查看路由器上的传输集,show crypto ipsec transform-set清除连接的生存周期Clear crypto sa 或clear crypto ipsec sa(3) 配置crypto mapRouter(config))# crypto map map_name seq_num ipsec-isakmpMap-name:crypto map的名称Seq_num：crypto map的序列号，其范围是1-65535，数值越小，优先级越高调用crypto ACL的名字或编号Router(config)-crypto-m)# match address ACL_name_or_num指定IPsec的对等体设备，即配置的设备应该与谁建立连接Router(config)-crypto-m)# set peer { hostname | IP_address }指定传输集的名称，这里最多可以列出6个传输集的名称Router(config)-crypto-m)# set transform-set transform_set_name1PFS（perfect forward secrecy）完美转发保密，保证两个阶段中的密钥只能使用一次启用PFS并指定使用哪个DH密钥组（可选命令）Router(config)-crypto-m)# set pfs [ group1 | group2 | group5 ]指定SA的生存周期，默认数据连接的生存周期为3600s或4608000KBRouter(config)-crypto-m)#set security-association lifetime {seconds seconds | kilobytes kilobytes} 设定空闲超时计时器，范围60~86400s (默认关闭)Router(config)-crypto-m)# set security-association idle-time seconds查看管理连接所处的状态show crypto isakmp policyshow crypto isakmp sashow crypto ipsec transform-setshow crypto ipsec security-association lifetimeshow crypto ipsec sashow crypto map在ASA上配置实现IPSec VPN分公司网关ASA1的配置基本配置ASA1(config)#route outside 0 0 100.0.0.2ASA1(config)#nat-controlASA1(config)#nat (inside) 1 0 0ASA1(config)#global (outside) 1 int配置NAT豁免ASA1(config)#access-list nonat extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0ASA1(config)#nat (inside) 0 access-list nonat启用ISAKMPASA1(config)#crypto isakmp enable outside配置ISAKMP策略ASA1(config)#crypto isakmp policy 1ASA1(config-isakmp-policy)#encryption aesASA1(config-isakmp-policy)#hash shaASA1(config-isakmp-policy)#authentication pre-shareASA1(config-isakmp-policy)#group 1配置预共享密钥ASA1(config)#isakmp key benet address 200.0.0.1ASA从7.0版本开始一般使用隧道组来配置ASA1(config)#tunnel-group 200.0.0.1 type ipsec-l2lASA1(config)#tunnel-group 200.0.0.1 ipsec-attributesASA1(config-ipsec)#pre-shared-key benet配置crypto ACLASA1(config)#access-list yfvpn extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0配置数据连接的传输集ASA1(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac配置crypto map并应用到outside接口上ASA1(config)#crypto map benet-map 1 match address yfvpnASA1(config)#crypto map benet-map 1 set peer 200.0.0.1ASA1(config)#crypto map benet-map 1 set transform-set benet-setASA1(config)#crypto map benet-map interface outside接口安全级别对于IPSec流量的影响流量无法通过具有相同安全级别的两个不同的接口流量无法从同一接口进入后再流出ASA(config)#same-security-traffic permit {intra-interface | inter-interface}路由器实现NAT-TRouter(config)#ip nat inside source list access-list-number interface f0/1 overloadRouter(config)#ip nat inside source static udp local-ip 500 interface f0/1 500Router(config)#ip nat inside source static udp local-ip 4500 interface f0/1 4500管理连接的状态状态说明MM_NO_STATE ISAKMP SA建立的初始状态；管理连接建立失败也会处于该状态。

ASA常用命令保存配置使用命令save translation查看系统历史日志, 使用命令list history查看系统中的G700, 使用命令list media-gateway (reg 显示y表示注册成功)察看系统告警, 使用命令display alarms 在随后出来的界面中点击F3 (Alarm type: Major 为大告警，Minor为中告警，Warning为小告警，不会影响正常使用)告警消除命令test alarm long clear (不是所有告警都可以通过此命令来消除)追踪分机，使用命令list trace station xxxx (分机号) 主要用于诊断追踪中继，使用命令list trace tac xxxx (中继代码) 主要用于诊断察看系统中的分机，使用命令list station察看系统中的从2000以后的100个分机号码，只用命令list station 2000 count 100察看分机状态，使用命令status station xxxx (分机号)察看中继组状态，使用命令status trunk n (中继组号)常用命令：List命令list trunk-group 查看系统目前的中继线情况list hunt-group 查看系统所设置的寻线组设置list station 查看系统所设置的分机list vdn 查看系统设置的虚拟引导号码list bcms vdn xxxx 在交换机上查看VDN xxxx每小时电话接入次数list bcms skill x 在交换机上查看寻线组x每小时电话接入次数List con sta 查询分机（含数字，模拟）板卡port使用状况list cti-link 查询link状况List con ds1 查询各DS1板卡port使用状况List trace station X 追踪分机工作状况（X为分机号码）List trace tac X 追踪寻线组工作状况List us ext X 有任意一个X的数值串，查询它在其他地方的使用情况List ars ana 查看此种类型的出局方式(两种不同的出局方式)List aar ana 查看此种类型的出局方式List measurements occupacy last-hour 查看每三分钟刷新的系统话务总量List measurements occupacy summary 查看每一小时刷新的系统话务总量List measurements occupacy summary 查看间隔时段最忙系统话务总量List *** sta *** count **** 该句实际表达意思为查看自***号码开始至***号码为止的****数量的号码List holiday 假日脚本编写List bcms trunk X 查看X寻线组的话务状况（bcms即报表系统）List login 查看用户名List con ca + 机柜号查看机柜板卡用途list agent-loginID xxxx 查看座席工号的设置及状态list con ca X 查看X机柜上有无port占用list test- schedule 查看测试时间进度表list agent staffed 查看所有坐席登录系统状况，可看到其登录分机，技能组别，等级等信息list skill-status sta 查看各技能组所对应配置list ip server interface all 查看各板卡对应的ip地址list config all 查询板卡状态Change命令Change abbreviated-dialing group X 更改寻线组缩略成员change vector x 更改系统虚拟引导号码相应的引导路径change station xxxx 更改分机参数change log X 更改（X）用户的密码change ip-services 更改用户登录端口设置change node-names ip 更改外接终端IP地址及接入名change system cdrchange system mu 系统多屏信息change isdn public-unknown-N 指定分机送主叫号change pickup-group X 话务组设置（设置一个通话组，组中成员可做强听等操作）change cov path X 设置某个station的接线方式脚本，上述命令可设定一个脚本，再由分机加载该脚本。

一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址#no shutdown#interface ethernet0/1 //进入接口0/1#nameif inside //配置接口名为inside#security-level 100 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 192.168.10.1 255.255.255.0 //设置ip地址#duplex full //全双工#speed 100 //速率#no shutdown#interface ethernet0/2 //进入接口0/2#nameif dmz //配置接口名为dmz#security-level 50 //设置安全级别。

级别从0--100，级别越高安全级别越高#ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址#no shutdown#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址注意：security-level 配置安全级别。

默认外网接口为0/0 安全级别默认为0内网接口为0/1 安全级别默认为100dmz 接口为0/2 安全级别默认为50默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令：#same-security-traffic permit interface //允许相同安全级别接口之间互相通信。

Cisco ASA 5500 常用配置命令手册默认分类 2010-03-03 16:36:09 阅读56 评论0字号：大中小订阅Cisco ASA 5500 常用配置命令手册1. 常用技巧Shruntp查看与ntp有关的Shru crypto 查看与vpn有关的Shru | inc crypto 只是关健字过滤而已2.故障倒换failoverfailoverlan unit primaryfailoverlan interface testint Ethernet0/3failover link testint Ethernet0/3failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface iptestint 10.3.3.1 255.255.255.0 standby 10.3.3.2注：最好配置虚拟MAC地址sh failover显示配置信息write standby写入到备用的防火墙中failover命令集如下：interface Configure the IP address and mask to be used for failover and/orstateful update informationinterface-policy Set the policy for failover due to interface failureskey Configure the failover shared secret or keylan Specify the unit as primary or secondary or configure the interface and vlan to be used for failover communication link Configure the interface and vlan to be used as a link for stateful update informationmac Specify the virtual mac address for a physical interfacepolltime Configure failover poll intervalreplication Enable HTTP (port 80) connection replicationtimeout Specify the failover reconnect timeout value forasymmetrically routed sessionssh failover 命令集如下：history Show failover switching historyinterface Show failover command interface informationstate Show failover internal state informationstatistics Show failover command interface statistics information| Output modifiers<cr>3配置telnet、ssh及http管理usernamejiang password Csmep3VzvPQPCbkx encrypted privilege 15 aaa authentication enable console LOCALaaa authentication telnet console LOCALaaa authentication ssh console LOCALaaa authorization command LOCALhttp 192.168.40.0 255.255.255.0 managementssh 192.168.40.0 255.255.255.0 inside4. vpn常用管理命令shvpn-sessiondb full l2l 显示site to site 之vpn通道情况shipsec stats 显示ipsec通道情况shvpn-sessiondb summary 显示vpn汇总信息shvpn-sessiondb detail l2l 显示ipsec详细信息shvpn-sessiondb detail svc 查看ssl client信息shvpn-sessiondb detail webvpn查看webvpn信息shvpn-sessiondb detail full l2l 相当于linux下的ipsec whack –status 如果没有建立连接，则表示ipsec通道还没有建立起来。

ASA命令介绍:一、基本配置1、显示ASA版本信息ciscoasa# show version2、配置主机名ciscoasa(config)# hostname asa8023、配置域名asa802(config)# domain-name 4、配置密码a、配置特权密码asa802(config)# enable password asa802b、配置远程登陆(telnet、SSH）密码asa802(config)# passwd cisco5、配置接口a、配置接口IP地址asa802(config-if)# ip address 192.168.1.1 255.255.255.0b、配置接口名字asa802(config-if)# nameif namec、配置接口安级级别asa802(config-if)# security-level number6、查看接口信息asa802(config-if)# show run interface(不必要在特权下)7、查看IP信息asa802(config-if)# show ip address(show ip)8、配置静态路由asa802(config)# route interface-name network mask next-hop-address 9、查看路由表asa802# show route10、配置远程管理接入a、配置Telnet接入----明文传输asa802(config)# telnet {network|ip-address} mask interface-name 注：ASA不允许telnet流量从安全级别为0的接口进入b、配置SSH(安全的telnet加密传输)接入(3个步骤)步骤1：配置主机名和域名步骤2：生成RSA密钥对(公钥和私钥)asa802(config)# crypto key generate rsa modulus 1024步骤3：配置防火墙允许SSH接入asa802(config)# ssh 192.168.0.0 255.255.255.0 insideasa802(config)# ssh 0 0 outside配置空闲超时时间与版本(可选)asa802(config)# ssh timeout 30asa802(config)# ssh version 2c、配置ASDM(ASA安全设备管理器)接入asa802(config)# http server enableasa802(config)# http 192.168.0.0 255.255.255.0 insideasa802(config)# asdm image disk0:/asdm-602.binasa802(config)# username benet password cisco privilege 1511、配置网络地址转换(NAT)a、配置PAT(2个步骤）---把多个私网地址转换成1个公网地址,多对少的转换步骤1：定义什么流量需要被转换asa802(config)# nat （interface_name） nat-id local-ip mask 步骤2:定义全局地址池(也可转到外部接口)asa802(config)# global （interface_name） nat-id {global-ip [-global-ip] |interface}b、配置Staticasa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip注:从低到高需要通过ACL放行相应的流量c、查看NAT的转换条目asa802(config)#show xlate12、配置ACLa、标准ACLasa802(config)#access-list acl_name standard {permit | deny}ip_addr maskb、扩展ACLasa802(config)# access-list acl_name extended {permit | deny}protocol src_ip_addr src_mask dst_ip_addr dst_mask [operator port]c、将ACL应用到接口asa802(config)# access-group acl_name {in | out} interface interface_name12、清空当前ASA相关协议配置asa802(config)#clear config route|static|nat|global13、清空当前ASA所有配置asa802(config)#clear config all--------------------------------------------------------二、ASA的高级应用1、配置URL(统一资源定位符）过滤(4个步骤)步骤1：定义Regex(正则表达式)-定义URL匹配的字符串asa802(config)# regex url1 "\.sohu\.com"---""步骤2：创建class-map(类映射)-识别传输流量，分类流量asa802(config)# access-list tcp_filter permit tcp 192.168.10.0255.255.255.0 any eq wwwasa802(config)# class-map tcp_filter_classasa 802(config-cmap)# match access-list tcp_filter-------------------------------------------------------------------------------------------------asa802(config)# class-map type inspect http http_class--------把字符串划分类asa802(config-cmap)# match request header host regex url1 步骤3：创建policy-map(策略映射)-针对不同的类执行不同的操作 asa802(config)# policy-map type inspect http http_url_policy-----带http 检测类型的策略映射asa802(config-pmap)# class http_classasa802(config-pmap-c)# drop-connection log ---同时产生日志信息-----------------------------------------------------------------------------------------------------asa802(config)# policy-map inside_http_url_policy ---标准的策略映射asa802(config-pmap)# class tcp_filter_classasa802(config-pmap-c)# inspect http http_url_policy步骤4：应用policy-map应用接口上asa802(config)# service-policy inside_http_url_policy interface inside2、配置日志管理服务器(三种方式）第一种：本地Buffer保存日志asa802(config)# logging enableasa802(config)# logging buffered informational 第二种：配置ASDM日志asa802(config)# logging enableasa802(config)# logging asdm informational 第三种：配置日志服务器asa802(config)# logging enableasa802(config)# logging trap informationalasa802(config)# logging host inside 192.168.10.13、配置ASA安全特性a、基本威胁检测asa802(config)# threat-detection basic-threatb、防范IP分攻击asa802(config)# fragment chain 1c、启用IDS(入侵检测系统)功能(可选)。