CiscoASA防火墙nat配置示例

配置要求：1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。

2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。

3、Dmz服务器分别开放80、21、3389端口。

说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。

具体配置如下：希望对需要的朋友有所帮助ASA Version 7.2(4)!hostname asa5505enable password tDElRpQcbH/qLvnn encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1nameif outsidesecurity-level 0ip address 外网IP 外网掩码!interface Vlan2nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0!interface Vlan3no forward interface Vlan1nameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet0/0description outside!interface Ethernet0/1description insideswitchport access vlan 2!interface Ethernet0/2description dmzswitchport access vlan 3!interface Ethernet0/3description insideswitchport access vlan 2!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!ftp mode passiveobject-group service outside-to-dmz tcpport-object eq wwwport-object eq ftpport-object eq 3389access-list aaa extended permit tcp any host 外网IP object-group outsid e-to-dmzaccess-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 object-group outside-to-dmzpager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1asdm image disk0:/asdm-524.binno asdm history enablearp timeout 14400global (outside) 1 interfaceglobal (dmz) 1 172.16.1.10-172.16.1.254 netmask 255.255.255.0nat (inside) 1 192.168.1.0 255.255.255.0nat (dmz) 1 172.16.1.0 255.255.255.0alias (inside) 221.203.36.86 172.16.1.2 255.255.255.255static (dmz,outside) tcp interface www 172.16.1.2 www netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface ftp 172.16.1.2 ftp netmask 255.255.2 55.255 dnsstatic (dmz,outside) tcp interface 3389 172.16.1.2 3389 netmask 255.255. 255.255dnsstatic (inside,dmz) 172.16.1.2 192.168.1.0 netmask 255.255.255.255 dns access-group aaa in interface outsideaccess-group bbb in interface dmzroute outside 0.0.0.0 0.0.0.0 外网网关 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcpinspect http!service-policy global_policy globalprompt hostname contextCryptochecksum:9d2a6010d4fc078cf026f98dcec96007 : endasa5505(config)#。

一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接Router F0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接Mail Server。

三、实验目的实现inside区域能够访问outside，即Switch能够ping通Router的F0/0（202.100.10.2）；dmz区能够访问outside，即Mail Server能够ping通Router 的F0/0（202.100.10.2）；outside能够访问insdie区的Web Server的http端口(80)和dmz区的Mail Server的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)# interface ethernet 0CiscoASA(config)#nameif ousideCiscoASA(config-if)# security-level 0CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 1CiscoASA(config)#nameif insideCiscoASA(config-if)# security-level 100CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0CiscoASA(config-if)# no shutCiscoASA(config)# interface ethernet 2CiscoASA(config)#nameif dmzCiscoASA(config-if)# security-level 50CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0CiscoASA(config-if)# no shut2、路由配置CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)# nat (inside) 1 0 0CiscoASA(config)# nat (dmz) 1 0 04、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)# global (outside) 1 interfaceCiscoASA(config)# global (dmz) 1 interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255#实现从outside区访问inside区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside区的映射202.100.10.1:80CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside区的映射202.100.10.1:110CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255#实现从outside区访问dmz区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside区的映射202.100.10.1:256、定义access-listCiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq wwwCiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp7、在接口上应用access-listCiscoASA(config)# access-group 101 in interface outsideCiscoASA(config)#access-group 102 in interface insideCiscoASA(config)#access-group 103 in interface dmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping 均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了static IP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

思科ASA系列防火墙NAT解析网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP 地址，增加安全性；允许外网主机访问DMZ。

动态NAT和PAT在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0指定需要转换的源地址。

其NAT ID为1。

用于匹配global命令中的NAT ID。

FW(config)# global (outside) 1 61.136.150.10-61.136.150.20指定用于替代源地址的地址池。

其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。

该方式即为动态NAT。

FW(config)# global (dmz) 1 10.0.2.20指定用于替代源地址的唯一地址。

其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。

该方式即为动态PAT。

收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

静态NAT在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1)，静态转换命令如下：FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask255.255.255.255本例中子网掩码为255.255.255.255，表示只转换一个IP地址。

若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

ASA配置指南,~、文档属性 文档历史； 序号 版本号修订日期 修订人 修订内容 1.郑鑫 文档初定 2. ·3.4.<）（, 属性 内容标题 思科ASA 防火墙配置指南文档传播范围发布日期目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)《(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)"(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)%(二)配置A/A (76)一、文档说明<本文档主要介绍思科ASA防火墙在版本之前与版本之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在以后，但有很多老的设备都在以前，所以本文档通过使用ASA 与这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

）二、基础配置(一)查看系统信息hostnat (inside,outside) staticobject networkhostnat (outside,inside) staticaccess-list inbound extended permit ip host host access-group inbound in interface outside@新命令的outbound和inbound流量动作是一样的：（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

思科ASA防火墙基本配置思科ASA防火墙基本配置Fire Wall 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，当然，防火墙也分软件防火墙与硬件防火墙。

硬件防火墙又分为：基于PC架构与基于ASIC芯片今天来聊一聊思科的'硬件防火墙 Cisco ASACisco ASA 防火墙产品线挺多：Cisco ASA5505 Cisco ASA5510 Cisco ASA5520 Cisco ASA5540 Cisco ASA5550 等等ASA 的基本配置步骤如下：配置主机名、域名hostname [hostname]domain-name xx.xxhostname Cisco-ASA 5520domain-name 配置登陆用户名密码password [password]enable password [password]配置接口、路由interface interface_namenameif [name]name 有三种接口类型 insdie outside dmzsecurity-level xx(数值)数值越大接口安全级别越高注：默认inside 100 ,outside 0 ,dmz 介于二者之间静态路由route interface_number network mask next-hop-addressroute outside 0.0.0.0 0.0.0.0 210.210.210.1配置远程管理接入Telnettelnet {network | ip-address } mask interface_nametelnet 192.168.1.0 255.255.255.0 insidetelnet 210.210.210.0 255.255.255.0 outsideSSHcrypto key generate rsa modulus {1024| 2048 }指定rsa系数，思科推荐1024ssh timeout minutesssh version version_numbercrypto key generate rsa modulus 1024ssh timeout 30ssh version 2配置 ASDM(自适应安全设备管理器)接入http server enbale port 启用功能http {networdk | ip_address } mask interface_nameasdm image disk0:/asdm_file_name 指定文件位置username user password password privilege 15NATnat-controlnat interface_name nat_id local_ip maskglobal interface_name nat_id {global-ip [global-ip] |interface} nat-controlnat inside 1 192.168.1.0 255.255.255.0global outside 1 interfaceglobal dmz 1 192.168.202.100-192.168.202.150ACLaccess-list list-name standad permit | deny ip maskaccess-list list-name extendad permit | deny protocol source-ip mask destnation-ip mask portaccess-group list-name in | out interface interface_name如果内网服务器需要以布到公网上staic real-interface mapped-interface mapped-ip real-ip staic (dmz,outside) 210.210.202.100 192.168.202.1保存配置wirte memory清除配置clear configure (all)【思科ASA防火墙基本配置】。

ASA配置指南●文档属性●文档历史目录一、文档说明 (5)二、基础配置 (6)(一)查看系统信息 (6)(二)版本区别简介 (6)(三)接口配置与安全级别简介 (7)(四)NTP 配置 (8)(五)SNMP配置 (9)(六)telnet配置 (9)(七)SSH配置 (9)(八)配置管理 (10)(九)常用设备排错命令 (10)三、NAT静态方向写法 (12)(一)传统静态NAT配置方向写法 (12)(二)新静态NAT配置方向写法 (15)四、NAT配置举例 (16)(一)Dynamic NAT (16)(二)Static NAT (27)(三)Identity NAT (34)(四)NAT免除 (40)(五)Twice NAT（策略NAT） (40)(六)NAT执行顺序 (52)五、状态化应用监控 (53)(一)状态化监控策略配置 (53)(二)路由、NAT、ACL、策略执行顺序 (57)六、failover (65)(一)配置failover (65)(二)配置A/A (76)一、文档说明本文档主要介绍思科ASA防火墙在版本8.2之前与版本8.3之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在8.3以后，但有很多老的设备都在8.2以前，所以本文档通过使用ASA 8.0与8.4这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

二、基础配置(一)查看系统信息//ASA Software 8.4//ASA Software 8.0(二)版本区别简介两个版本除了在技术NAT和ACL配置方式有所不同外，其他技术配置方式都相同。

NAT：两个版本的NAT配置的动作和效果都是相同的，但配置方式都不通，详细见NAT 配置举例。

ACL：8.2之前的版本在放行inbound流量时放行的是映射的虚IP，而8.3以后的新版本放行inbound流量时是内网的真实IP，详细见配置举例。

cisco-asa 防火墙配置hostname CD-ASA5520 //给防火墙命名domain-namedefault.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names dns-guard！interface GigabitEthernet0/0 //内网接口：duplex full //接口作工模式：全双工，半双，自适应nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全ip address192.168.1.1 255.255.255.0 //设置本端口的IP地址！interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置！interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0！interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address！interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address！passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。

Network Object NA T配置介绍1.Dynamic NAT（动态NA T，动态一对一）实例一:传统配置方法：nat (Inside) 1 10.1.1.0 255.255.255.0global (Outside) 1 202.100.1.100-202.100.1.200新配置方法（Network Object NAT）object network Outside-Nat-Poolrange 202.100.1.100 202.100.1.200object network Inside-Networksubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) dynamic Outside-Nat-Pool实例二:object network Outside-Nat-Poolrange 202.100.1.100 202.100.1.200object network Outside-PAT-Addresshost 202.100.1.201object-group network Outside-Addressnetwork-object object Outside-Nat-Poolnetwork-object object Outside-PAT-Addressobject network Inside-Network（先100-200动态一对一，然后202.100.1.201动态PA T,最后使用接口地址动态PAT）nat (Inside,Outside) dynamic Outside-Address interface教主认为这种配置方式的好处是，新的NA T命令绑定了源接口和目的接口，所以不会出现传统配置影响DMZ的问题（当时需要nat0 + acl来旁路）2.Dynamic PAT (Hide)（动态PA T，动态多对一）传统配置方式：nat (Inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.101新配置方法（Network Object NAT）object network Outside-PAT-Addresshost 202.100.1.101object network Inside-Networksubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) dynamic Outside-PAT-Addressornat (Inside,Outside) dynamic 202.100.1.1023.Static NAT or Static NAT with Port Translation（静态一对一转换，静态端口转换）实例一：（静态一对一转换）传统配置方式：static (Inside,outside) 202.100.1.101 10.1.1.1新配置方法（Network Object NAT）object network Static-Outside-Addresshost 202.100.1.101object network Static-Inside-Addresshost 10.1.1.1nat (Inside,Outside) static Static-Outside-Addressornat (Inside,Outside) static 202.100.1.102 <dns>实例二：（静态端口转换）传统配置方式：static (inside,outside) tcp 202.100.1.102 2323 10.1.1.1 23新配置方法（Network Object NAT）object network Static-Outside-Addresshost 202.100.1.101object network Static-Inside-Addresshost 10.1.1.1nat (Inside,Outside) static Static-Outside-Address service tcp telnet 2323ornat (Inside,Outside) static 202.100.1.101 service tcp telnet 23234.Identity NAT =no nat传统配置方式：nat (inside) 0 10.1.1.1 255.255.255.255新配置方法（Network Object NAT）object network Inside-Addresshost 10.1.1.1nat (Inside,Outside) static Inside-Addressornat (Inside,Outside) static 10.1.1.1Twice NAT（类似于Policy NA T）实例一：传统配置:access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1access-list inside-to-202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 202.100.1.101global(outside) 2 202.100.1.102新配置方法（Twice NAT）:object network dst-1host 1.1.1.1object network dst-202host 202.100.1.1object network pat-1host 202.100.1.101object network pat-2host 202.100.1.102object network Inside-Networksubnet 10.1.1.0 255.255.255.0nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202实例二：传统配置:access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1access-list inside-to-202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 202.100.1.101global(outside) 2 202.100.1.102static (outside,inside) 10.1.1.101 1.1.1.1static (outside,inside) 10.1.1.102 202.100.1.1新配置方法（Twice NAT）:object network dst-1host 1.1.1.1object network dst-202host 202.100.1.1object network pat-1host 202.100.1.101object network pat-2host 202.100.1.102object network Inside-Networksubnet 10.1.1.0 255.255.255.0object network map-dst-1host 10.1.1.101object network map-dst-202host 10.1.1.102nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static map-dst-1 dst-1nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static map-dst-202 dst-202实例三：传统配置:access-list inside-to-1 permit tcp 10.1.1.0 255.255.255.0 host 1.1.1.1 eq 23access-list inside-to-202 permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq 3032nat (inside) 1 access-list inside-to-1nat (inside) 2 access-list inside-to-202global(outside) 1 202.100.1.101global(outside) 1 202.100.1.102新配置方法（Twice NAT）:object network dst-1host 1.1.1.1object network dst-202host 202.100.1.1object network pat-1host 202.100.1.101object network pat-2host 202.100.1.102object network Inside-Networksubnet 10.1.1.0 255.255.255.0object service telnet23service tcp destination eq telnetobject service telnet3032service tcp destination eq 3032nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032Main Differences Between Network Object NAT and Twice NAT（Network Object NA T和TwiceNA T的主要区别）How you define the real address.（从如何定义真实地址的角度来比较）– Network object NA T—You define NAT as a parameter for a network object; the network object definition itself provides the real address. This method lets you easily add NAT to network objects. The objects can also be used in other parts of your configuration, for example, for access rules or even in twice NAT rules.<NA T是network object的一个参数，network object定义自己为真实地址。

实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理；2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置1、路由器基本网络配置，配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

配置PIX Failover简介：本文描述了Pix Failover特性的配置。

Failover的系统需求要配置pix failover需要两台PIX满足如下要求：∙型号一致(PIX 515E不能和PIX 515进行failover)∙软件版本相同∙激活码类型一致(都是DES或3DES)∙闪存大小一致∙内存大小一致Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR 版本。

R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。

注意 Pix501、Pix506/506E均不支持Failover特性。

理解FailoverFailover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。

Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。

而新的备用PIX则将自己的IP和MAC设置为原备份地址。

对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp 表，也不需要等待ARP超时。

一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX 上面。

Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。

在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。

将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。

如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。

ASA的NAT配置1.nat-control命令解释pix7.0版本前默认为nat-control,并且不可以更改pix7.0版本后默认为no nat-control。

可以类似路由器一样，直接走路由；如果启用nat-control，那就与pix7.0版本前同。

2.配置动态nat把内部网段：172.16.25.0/24 转换成为一个外部的地址池200.1.1.1-200.1.1.99NAT配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段)ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）注意：id必须匹配，并且大于1，这里先使用1检测命令：ASA(config)# show run natASA(config)# show run globalASA(config)# show xlateASA(config)# show connect3.配置PAT把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149NAT配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段)ASA(config)# global (outside) 2 200.1.1.149 （定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用24.配置static NAT把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100NAT配置命令ASA(config)# static (inside,outside) 200.1.1.100 172.16.27.27命令格式是内外对应的，红色的接口和红色的地址对应。

思科ASA防火墙配置要想配置思科的防火墙得先了解这些命令：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

external_if_name表示外部网络接口，安全级别较低，如outside。

NAT(ASA)基本命令配置：ciscoasa(config)# inter e0/0ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# security-level 100ciscoasa(config-if)# inter e0/1ciscoasa(config-if)# ip add 192.168.2.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# inter e0/2ciscoasa(config-if)# ip add 202.100.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# security-level 0ciscoasa(config-if)#ciscoasa(config)# route outside 100.1.1.0 255.255.255.0 202.100.1.1 inside(config)#inter f0/0inside(config-if)#ip add 192.168.1.1 255.255.255.0inside(config-if)#no shinside(config-if)#exinside(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254inside(config)#dmz(config)#inter f0/0dmz(config-if)#ip add 192.168.2.1 255.255.255.0dmz(config-if)#no shdmz(config-if)#exdmz(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254dmz(config)#dmz(config)#line vty 0 4dmz(config-line)#no logindmz(config-line)#dmz(config)#ip http serveroutside(config)#inter f0/0outside(config-if)#ip add 202.100.1.1 255.255.255.0outside(config-if)#no shoutside(config-if)#outside(config)#inter lo 1outside(config-if)#ip add 100.1.1.1 255.255.255.0outside(config)#outside(config)#line vty 0 4outside(config-line)#no login在ASA 的防火墙上，nat后面接的IP地址为内网的私有IP地址。

C i s c o A S A修订N A T基本配置精编版MQS system office room 【MQS16H-TTMS2A-MQSS8Q8-MQSH16898】一、网络拓扑二、实验环境ASA防火墙eth0接口定义为outside区，Security-Level:0，接RouterF0/0；ASA防火墙eth1接口定义为insdie区，Security-Level:100，接Switch的上联口；ASA防火墙Eth2接口定义为DMZ区，Security-Level:60，接MailServer。

三、实验目的Server能够ping通Router的F0/0（）；outside能够访问insdie区的WebServer的http端口(80)和dmz区的MailServer的pop3端口（110）、smtp端口（25）.四、详细配置步骤1、端口配置CiscoASA(config)#interfaceethernet0CiscoASA(config)#nameifousideCiscoASA(config-if)#security-level0CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet1CiscoASA(config)#nameifinsideCiscoASA(config-if)#security-level100CiscoASA(config-if)#ipaddressCiscoASA(config-if)#noshutCiscoASA(config)#interfaceethernet2CiscoASA(config)#nameifdmzCiscoASA(config-if)#security-level50CiscoASA(config-if)#CiscoASA(config-if)#noshut2、路由配置CiscoASA(config)#routeoutside1#默认路由CiscoASA(config)#routeinside1#外网访问内网服务器的路由3、定义高安全接口区域需要进行地址转换的IP范围CiscoASA(config)#nat(inside)100CiscoASA(config)#nat(dmz)1004、定义低安全接口区域用于高安全接口区域进行IP转换的地址范围CiscoASA(config)#global(outside)1interfaceCiscoASA(config)#global(dmz)1interface5、定义静态IP映射（也称一对一映射）CiscoASA(config)#static(inside,outside)tcpwwwwwwnetmaskCiscoASA(config)#static(dmz,outside)tcppop3pop3netmask2:110CiscoASA(config)#static(dmz,outside)tcpsmtpsmtpnetmask6、定义access-listCiscoASA(config)#access-list101extendedpermitipanyanyCiscoASA(config)#access-list101extendedpermiticmpanyanyCiscoASA(config)#access-list102extendedpermittcpanyhosteqwwwCiscoASA(config)#access-list102extendedpermiticmpanyanyCiscoASA(config)#access-list103extendedpermittcpanyhosteqpop3 CiscoASA(config)#access-list103extendedpermittcpanyhosteqsmtp7、在接口上应用access-listCiscoASA(config)#access-group101ininterfaceoutsideCiscoASA(config)#access-group102ininterfaceinsideCiscoASA(config)#access-group103ininterfacedmz五、实验总结1、当流量从高权限区域流向低权限区域时1、只要路由配通了，无须配置nat/global，也无须配置access-list，就可以直接telnet低权限区域主机;2、只要路由配通了，同时配置了access-list，无须配置nat/global，就可以直接ping通低权限区域主机；3、只要路由配通了，同时配置了nat/global/access-list，此时telnet/ping均会执行地址转换2、当流量从低权限区域流向高权限区域时1、即使路由已经配通了，也不能成功访问；2、路由已经配通了，同时必须正确配置了staticIP地址映射及access-list，才能成功访问；3、调通路由是基础，同时只跟static/access-list有关，而跟nat/global毫无关系。

CiscoASA5505防火墙详细配置教程及实际配置案例interfaceVlan2nameifoutside对端口命名外端口security-level0设置端口等级ipaddressX.X.X.X255.255.255.224调试外网地址!interfaceVlan3nameifinside对端口命名内端口security-level100调试外网地址ipaddress192.168.1.1255.255.255.0设置端口等级!interfaceEthernet0/0switchportaccessvlan2设置端口VLAN与VLAN绯定!interfaceEthernet0/1switchportaccessvlan3设置端口VLAN与VLAN3W定!interfaceEthernet0/2shutdown!interfaceEthernet0/3shutdown!interfaceEthernet0/4shutdowninterfaceEthernet0/5shutdown!interfaceEthernet0/6shutdown!interfaceEthernet0/7shutdown!passwd2KFQnbNIdI.2KYOUencryptedftpmodepassivednsdomain-lookupinsidednsserver-groupDefaultDNSname-server211.99.129.210name-server202.106.196.115access-list102extendedpermiticmpanyany设置ACL歹U表（允许ICMP全部通过）access-list102extendedpermitipanyany设置ACL列表（允许所有IP全部通过）pagerlines24mtuoutside1500mtuinside1500icmpunreachablerate-limit1burst-size1noasdmhistoryenablearptimeout14400global（outside）1interface设置NAT地址映射到外网口nat（inside）10.0.0.00.0.0.00NAT地址池（所有地址）0无最大会话数限制access-group102ininterfaceoutside设置ACL列表绑定到外端口routeoutside0.0.0.00.0.0.0x.x.x.x1设置到外网的默认路由timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00timeoutuauth0:05:00absolutenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstarttelnet0.0.0.00.0.0.0inside设置TELNETS有地址进入telnettimeout5ssh0.0.0.00.0.0.0outside设置SSH所有地址进入sshtimeout30sshversion2consoletimeout0dhcpdaddress192.168.1.100-192.168.1.199inside设置DHCP!艮务器地址池dhcpddns211.99.129.210202.106.196.115interfaceinside设置DNS服务器到内网端口dhcpdenableinside设置DHCPZ用到内网端口前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样，呵呵.没有技术含量，都是最基本的.其他业务配置暂时没配，会及时更新的.CiscoASA5505配置cisco,config,telnet,防火墙,Cisco1.配置防火墙名ciscoasa>enableciscoasa#configureterminalciscoasa(config)#hostnameasa55052.配置telnetasa5505(config)#telnet192.168.1.0255.255.255.0insideT〃允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)#passwordcisco远程密码asa5505(config)#enablepasswordcisco特权模式密码4.配置IPasa5505(config)#interfacevlan2进入vlan2asa5505(config-if)#ipaddress218.16.37.222255.255.255.192vlan2配置IPasa5505(config)#showipaddressvlan2验证配置5.端口力口入vlanasa5505(config)#interfacee0/3进入接口e0/3asa5505(config-if)#switchportaccessvlan3接口e0/3力口入vlan3asa5505(config)#interfacevlan3进入vlan3asa5505(config-if)#ipaddress10.10.10.36255.255.255.224vlan3配置IPasa5505(config-if)#nameifdmzvlan3名asa5505(config-if)#noshutdown开启asa5505(config-if)#showswitchvlan验证配置6.最大传输单元MTUasa5505(config)#mtuinside1500inside最大传车^单元1500字节asa5505(config)#mtuoutside1500outside最大传输单元1500字节asa5505(config)#mtudmz1500dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arptimeout14400arp表的超日^时间14400秒8.FTP模式asa5505(config)#ftpmodepassiveFTP被动模式9.配置域名asa5505(config)#10.启动日志asa5505(config)#loggingenable启动日志asa5505(config)#loggingasdminformational启动asdm报告日志asa5505(config)#Showlogging验证配置11.启用http服务asa5505(config)#httpserverenable启动HTTPserver便于ASDM连接。

ciscoASA防火墙配置思科cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

..Cisco ASA 防火墙图文配置实例本文是基于ASA5540 和 ASA5520 的配置截图所做的一篇配置文档，从最初始的配置开始：1、连接防火墙登陆与其他的 Cisco 设备一样，用 Console 线连接到防火墙，初始特权密码为空。

2、配置部接口和 IP 地址进入到接口配置模式，配置接口的 IP 地址，并指定为 inside。

防火墙的地址配置好后，进行测试，确认可以和防火墙通讯。

3、用 dir 命令查看当前的 Image 文件版本。

4、更新 Image 文件。

准备好 TFTP 服务器和新的 Image 文件，开始更新。

5、更新 ASDM。

6、更新完成后，再用 dir 命令查看8、存盘，重启9、用 sh version 命令验证启动文件，可以发现当前的 Image 文件就是更新后的10、设置允许用图形界面来管理 ASA 防火墙表示部接口的任意地址都可以通过 http 的方式来管理防火墙。

11、打开浏览器，在地址栏输入防火墙部接口的 IP 地址选择“是”按钮。

12、出现安装 ASDM 的画面选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加一个程序组14、运行 ASDM Launcher，出现登陆画面15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防火墙的配置画面，就可以在图形界面下完成 ASA 防火墙的配置17、选择工具栏的“Configuration”按钮18、选择“Interface”，对防火墙的接口进行配置，这里配置g0/3接口选择 g0/3 接口，并单击右边的“Edit”按钮19、配置接口的 IP 地址，并将该接口指定为 outside单击 OK 后，弹出“Security Level Change”对话框，单击 OK 20、编辑 g0/1 接口，并定义为 DMZ 区域21、接口配置完成后，要单击 apply 按钮，以应用刚才的改变，这一步一定不能忘22、设置静态路由单击 Routing->Static Route->Add23、设置 enable 密码24、允许 ssh 方式登录防火墙25、增加用户定义 ssh 用本地数据库验证26、用 ssh 登录测试登录成功27、建立动态 NAT 转换选择 Add Dynamic NAT RuleInterface 选择 inside，Source 处输入 any 单击 Manage 按钮单击 add，增加一个地址池Interface 选择 Outside，选择 PAT，单击 Add 按钮单击 OK完成了添加动态 NAT 转换28、静态 NAT 转换由于笔者 2009 年离开了原单位，有些配置的截图没有做，新单位又没有 ASA 防火墙，只好参考《ASA8.0/ASDM6.0 测试报告》的截图和文档来完成本文，并将该文档中部分常用的配置联接在本文后，对该文的作者表示感。

ciscoASA防火墙如何配置思科cisco是全球高端顶尖的通讯厂商，其出产的路由器功能也是世界级的，那么你知道cisco ASA防火墙如何配置的吗?下面是店铺整理的一些关于cisco ASA防火墙如何配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

R1interface Loopback0ip address 1.1.1.1 255.255.255.0!interface Loopback1ip address 1.1.2.1 255.255.255.0!interface FastEthernet0/0ip address 192.168.12.1 255.255.255.0 speed autofull-duplex!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.12.2!interface FastEthernet0/0ip address 192.168.26.2 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.27.2 255.255.255.0 duplex autospeed auto!interface FastEthernet1/0ip address 192.168.12.2 255.255.255.0ip policy route-map ciscoduplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.26.6ip route 1.1.0.0 255.255.0.0 192.168.12.1!!no ip http serverno ip http secure-server!ip access-list extended cisco1permit ip 1.1.1.0 0.0.0.255 anyip access-list extended cisco2permit ip 1.1.1.0 0.0.0.255 55.55.55.0 0.0.0.255 !!!route-map cisco permit 10match ip address cisco2set ip next-hop 192.168.26.6!route-map cisco permit 20match ip address cisco1set ip next-hop 192.168.27.7interface FastEthernet0/0ip address 192.168.36.3 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.3 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.35.5!R4!interface FastEthernet0/0ip address 192.168.46.4 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.45.4 255.255.255.0 duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 192.168.45.5!R5interface Loopback0ip address 5.5.5.5 255.255.255.0!interface Loopback1ip address 55.55.55.55 255.255.255.0 !interface FastEthernet0/0ip address 192.168.45.5 255.255.255.0 duplex autospeed auto!interface FastEthernet0/1ip address 192.168.35.5 255.255.255.0duplex autospeed auto!ip route 192.168.36.0 255.255.255.0 192.168.35.3 ip route 192.168.46.0 255.255.255.0 192.168.45.4 !ASA-SYSciscoasa# show run: Saved:ASA Version 8.0(2) <system>!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto!interface Ethernet0/0!interface Ethernet0/1!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!class defaultlimit-resource All 0limit-resource ASDM 5limit-resource SSH 5limit-resource Telnet 5!ftp mode passivepager lines 24no failoverno asdm history enablearp timeout 14400console timeout 0admin-context admincontext adminconfig-url disk0:/admin.cfg!context isp1allocate-interface Ethernet0/1allocate-interface Ethernet0/2config-url disk0:/isp1.cfg!context isp2allocate-interface Ethernet0/0allocate-interface Ethernet0/3config-url disk0:/isp2.cfg!prompt hostname contextCryptochecksum:a0edbaf94170a837f4ddfd14b67fdbb9 : endciscoasa#ASA-ISP1ciscoasa/isp1# show run: Saved:ASA Version 8.0(2) <context>!hostname isp1enable password 8Ry2YjIyt7RRXU24 encrypted names!interface Ethernet0/2nameif outsidesecurity-level 0ip address 192.168.36.6 255.255.255.0!interface Ethernet0/1nameif insidesecurity-level 100ip address 192.168.27.7 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.36.3 1route inside 1.1.0.0 255.255.0.0 192.168.27.2 1route inside 192.168.12.0 255.255.255.0 192.168.27.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_2parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_2inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy global Cryptochecksum:a04eca19e9425a2d7e623155ae00e06f : endciscoasa/isp1#ASA-ISP2ciscoasa/isp2# show run: Saved:ASA Version 8.0(2) <context>!hostname isp2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/3nameif outsidesecurity-level 0ip address 192.168.46.6 255.255.255.0!interface Ethernet0/0nameif insidesecurity-level 100ip address 192.168.26.6 255.255.255.0!passwd 2KFQnbNIdI.2KYOU encryptedaccess-list cisco extended permit ip any anypager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 1 0.0.0.0 0.0.0.0access-group cisco in interface outsideroute outside 0.0.0.0 0.0.0.0 192.168.46.4 1route inside 1.1.0.0 255.255.0.0 192.168.26.2 1route outside 5.5.5.0 255.255.255.0 192.168.46.4 1route inside 192.168.0.0 255.255.0.0 192.168.26.2 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartno crypto isakmp nat-traversaltelnet timeout 5ssh timeout 5!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns migrated_dns_map_3parametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns migrated_dns_map_3inspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect esmtpinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp!service-policy global_policy globalCryptochecksum:6c6dcb6f6651522440e01c85e4a4a613: end ciscoasa/isp2#。