使用gns3配置ASA(含asdm)

GNS3 搭建本地ASA 并使用ASDM 管理实验环境：本地ASA 的IP 地址127.0.0.1 （本地ASA 使用）GNS3 0.7.3Fiddler2本地TOP 搭建：1 、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是asa802-k8.bin.unpacked.vmlinuz ，启动文件initrd 使用单模式ASA ，请下载asa802-k8-sing.gz ；使用多模式ASA 请下载asa802-k8-muti.gz 。

两个initrd 文件中所加载的网卡为e100 和e1000 ，所用文件可以到本文附件下载，打开GNS3 ，新建一个工程，命名为ASA 。

之后选择“编辑”--> “首选项”--> “qemu ”对“General Setting ”做如图所示的配置：之后配置ASA 选项卡：2 、拖入ASA ，分别新建ASA1 和ASA2,TOP 如下：启动两个ASA 可以看到两个QEMU 窗口由于是初次运行，点“console”登录后，看到内核初始化：回到命令提示符后，请等大概 1 分钟左右( 为了防止出现其它问题，请按我说的做) ，等待FLASH 文件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^ 。

使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行/mnt/disk0/lina_monitor使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后，执行/mnt/disk0/lina –mPS: 再次运行ASA 的时候，将直接启动到ciscoasa> 的状态下，不用再执行上面的命令了可以看到6 块网卡都被ASA 识别了此时如果执行show flash:, 将会是下面的结果：因为是初次运行，虽然上面的步骤中格式化了FLASH 文件等等，但是在ASA 中还是没有加载FLASH所以执行show flash: 后可用空间为0 。

基于GNS3模拟器的Cisco ASA防火墙技术应用仿真实现刘景林【摘要】利用GNS3模拟器搭建Cisco ASA防火墙应用的网络场景,仿真模拟ASA防火墙的工作过程并测试验证防火墙内部网络、外部网络以及DMZ三个区域主机间的相互通信.通过配置ASA防火墙实现内网主机可访问外部网络以及对外发布内网服务器,同时也可针对来自外网的非法访问进行拦截过滤,有效地保护内网的安全.【期刊名称】《河北软件职业技术学院学报》【年(卷),期】2018(020)003【总页数】5页(P12-16)【关键词】GNS3模拟器;ASA防火墙;内网安全【作者】刘景林【作者单位】泉州经贸职业技术学院信息技术系,福建泉州 362000【正文语种】中文【中图分类】TP393.0820 引言在网络与信息安全形势日益复杂的今天，如何更好地保护内网的安全成了网络安全技术人员研究的热点，防火墙作为保护内网安全的第一道门槛，担负着数据包的检查与过滤功能，其作用是隔离不同的网络区域，并针对不同的信任区域制定不同的限制规则[1]。

防火墙可根据预先配置好的策略和规则，来阻塞和放行试图进入网络的流量[2]。

通过配置防火墙的ACL功能，实现内网、外网以及DMZ三个区域数据包的访问控制，同时利用防火墙的NAT功能，实现内网私有地址的主机访问外部网络以及对外发布内网服务器。

利用GNS3模拟器搭建ASA防火墙的应用场景，实现内网主机可访问DMZ区域主机和外网主机，DMZ区域主机与外网主机之间也可以相互访问，同时能够针对来自外网的非法流量进行过滤，从而保障内网的安全。

1 ASA防火墙应用场景的搭建GNS3是一款具有图形化界面的网络搭建虚拟仿真软件，可以运行在Windows和Linux平台上，它通过模拟路由器和交换机来创建复杂的物理网络的模拟环境[3]。

利用GNS3模拟器搭建包含自适应安全设备（ASA）防火墙的如下网络场景的拓扑，整个网络分为内网、外网与DMZ三个区域，每个区域都有其相应的主机，如图1所示。

ASA 5500 与GNS3如何桥接？我们总共需求2台C7200和一台ASA5500。

1、把ASA的文件加载到vmware 软件里，检查是否有三块网卡，分别与vmnet 1 ,vmnet2,vmnet3桥接，如图1所示：图1注：这里的vmnet 1 是outside口，vmnet 2 是DMZ口，vmnet 3 是inside口2、可以使用ntpt软件来把secreCRT和ASA桥接在一起。

如图所示：图2图3如图2，这里的\\.\pipe\ASA是一个路径，在vmware ASA的serial port里就输入\\.\pipe\ASA 如图3，而在ntpt里要新建一个pipe name 为\\.\pipe\ASA，port 为3000（任意一个端口号，只要不冲突就可以了）3、然后使用secureCRT 连接到ASA，如图4所示：图4Hostname 是127.0.0.1，连接到本地，port是3000.这里的port就是刚刚在ntpt 里面设置的，两个要保持一致。

4、输入回车，就可以进到asa5500里去了，进到用户模式，输入enable，这时候，ASA5500要求输入密码，默认密码为空，，回车就行了。

5、这时候，ASA的设置完成，，打开GNS3，我们要在GNS3里模拟两台C7200，并且要与ASA5500做桥接。

如图5所示：图56、按要求搭建TOP图：如图6所示：图67、最后进到ASA里，按如下规划设置IP地址：e0/0—>202.100.10.1/24 e0/1 → 172.16.1.254/24 e0/2→ 192.168.1.254/248、到GNS3的R1里设置e1/0的IP地址为202.100.10.2/24,进到R2的E1/0设置IP地址为172.16.1.1/24，物理PC的VMNRT3和ASA的inside口在一个网段。

9.测试直连网段是否通。

【模拟环境】我所使用的GNS3版本为0.7.4，如果低于这个版本，有些版本会缺少些选项无法支持。

GNS3_0.74下的asa配置【ASA】下载地址：/data/219643ASA有2种模式的编译文件，分别为单模式和多模式，可选择使用。

我使用的是单模式，我试用过多模式，不太好用。

这里不是使用Unpack将IOS中提取出编译文件（initrd文件）和内核（vmlinuz文件）来使用，网上有使用这种方法的，但是我尝试不成功。

于是我直接使用已经编译好的.gz文件，虽然需要初始化等一些操作，但可以使用CRT 的按钮功能来弥补。

如果你们还有更好的方法，可以共享。

一、配置我将它存放到GNS3文件夹下，路径分别为：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gzG:\GNS3\Fw\ASA\Run\asa802-k8-muti.gzG:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz3、打开GNS3，编辑→首选项→Qemu→ASA；添加单模式：Identifier name：asa802-k8-sing（自己填名称，但不能是中文）RAM：256（使用默认的256）Number of NICs：6（网卡数量，默认是6）NIC model：e1000（网卡类型，默认是e1000）Qemu Options：-hdachs 980,16,32 -vnc :1（手动输入）Initrd：G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gz（编译文件路径）Kernel：G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz（内核文件路径）Kernel cmd line：auto console=ttyS0,9600n8 nousb ide1=noprobe bigphysarea=16384 hda=980,16,32（关键，否则无法telnet）输入完后，点击保存，下面列表中会出现。

印象网络--工作室群号：300309792实验名称： 配置ASA（三个区域） 实验人：lun0yellow（ylxl） 实验目的： Inside、outside、dmz：R1、R2和R3用来模拟PC：实验拓扑：实验环境： GNS3实验器材： GNS3实验步骤：//配置路由器和ASA的接口、路由、实现网络互通：ciscoasa(config)# int e0/1ciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# ip add 10.1.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/0ciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ciscoasa(config-if)# ip add 172.16.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# int e0/2ciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ciscoasa(config-if)# security-level 50ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# exitciscoasa(config)# route outside 172.16.2.0 255.255.255.0 172.16.1.1//在R1、R2、R3、R4上配置：R1(config)#int f0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254R1(config)#do wrR2(config)#int f0/0R2(config-if)#ip add 172.16.1.1 255.255.255.0R2(config-if)#no shR2(config-if)#int f0/1R2(config-if)#int f0/1R2(config-if)#ip add 172.16.2.2 255.255.255.0R2(config-if)#no shR2(config-if)#exitR2(config)#ip route 10.1.1.0 255.255.255.0 172.16.1.254R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.254 R2(config)#do wrR3(config)#int f0/0R3(config-if)#ip add 172.16.2.1 255.255.255.0R3(config-if)#no shR3(config-if)#exitR3(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2R3(config)#do wrR4(config)#int f0/0R4(config-if)#ip add 192.168.1.1 255.255.255.0R4(config-if)#no shR4(config-if)#exitR4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254R4(config)#do wr//配置R1/R2/R3/R4的vty密码。

GNS3中的ASA防火墙如何使用ASDM关联
软件：ASDM的客户端、bin文件、JDK、3CD （TFTP）
1、设置云的桥接方式为本地物理连接，如果正使用无线，也可以选择无线连接。

如下图所示：
下拉三角选择—点击“添加”—点击“apply”—点击“OK”
2、如下图所示进行拓扑搭建
3、333333312
3、启动ASA防火墙，清空startup-config，特权下#write erase，然后write保存，最后reload一下，与配置回答NO。

4、配置接口ip，需要与本机ip处于同一个网段，并且配置完成保证互通。

首先查看本机ip：ipconfig/all
这里我的本机ip为10.255.250.46，ASA接口ip设置为10.255.250.1，如图
互通：
5、设置TFTP服务器的文件路径正确，为bin 文件的所在路径。

上传文件到ASA的flash中：
回车，根据提示输入TFTP的ip；源文件名称（就是全部的名称，加上后缀的）；目标名称（直接回车就好）
6、对ASA进行如下配置
然后安装并运行ASDM的客户端软件，输入用户名与密码
记得勾上Run in Demo Mode，某则报错，反正我的不勾就报错了。

界面如下：。

图２　设置流程
３　开始实验
将一个ASA拖到工作区不要立刻启用。

在通电之前，右键单击该设备，出现浮动菜单。

选择“配置”菜单，在打开的“节点配置”窗口中点击“ASA1”选项。

在“网卡模块”的下拉列表中把“e1000”改为“pcnet”。

点击【OK】按钮，保存设置。

如图2所示。

在设备初次通电运行，就直接右键点击“console”，会发现在CLI
然最后也能到达命令提示符，但是在实验过程中对端口进行“no shutdown”却不能成功。

４　结　语
GNS3是可以运行在多平台上的图形界面网络虚拟软件，可以通过它完成CCNA、CCNP、CCIE
实验模拟操作[3]。

只要通过以上方法配置好
比其他软件更好地模拟出ASA防火墙。

学生就能完成更多的防火墙实验，就能更深刻理解防火墙知识，就能更好掌握
图１　设置ＡＳＡ参数的流程。

注：关于如何控制CPU的使用率，请光临《如何限制GNS3中CPU的使用率（ASA）》GNS3中运行ASA详细步骤如下：备注：GNS3安装目录如下图所示:1、下载：asa802-k8.bin2、将下面压缩文件：然后将unpack文件夹复制到C盘的根目录下（即C：\unpack）。

3、win + R → cmd 回车→cd \unpack回车→4、运行上面的命令后生成了下面2个文件！具体如下图所示：5、GNS3的详细配置如下：(1)General setting：(3)最关键的Qemu核心配置：请看仔细！General Setting:请按照上面所有图的红框中配置好后，下面我们就用SecureCRT连上ASA防火墙：6、在SecureCRT上的设置，如下图所示：至此，GNS3中模拟ASA详细教程完毕！备注：上面所有要用到的软件在51CTO下载中心下载：1、上传权限所限，故共分2部分：/data/171628（第1部分）/data/171626（第2部分）*解惑：1、有朋友问端口是否up?释疑如下，请sailory博友看下面：谢谢sailory博友，欢迎再次光临本博客，谢谢！如何限制GNS3中CPU的使用率（ASA）1、请看下图所示，如果CPU使用100%，那我们还能干么呀？：）办法总比问题多！请继续往下看：2、双击BES.exe，如下图：2、限制CPU使用率：如果不限制qemu，将意味着CPU占用率非常高，限制某个进程的CPU 使用率很简单，安装BES软件，然后运行，把qemu进程的CPU使用率控制一下就OK ^_^，点击“Target…”，选择防火墙模拟器的进程“qemu.exe”点击“Limit this” ，如下图所示：点击“Control…”，限制CPU使用率，如下图所示：例如：将滑块向右移动到下图所示位置，请观察之！思考：举一反三，如果要开启2个ASA呢？^_^BES限制CPU的使用率暂毕！。

实验2：ASDM的基本设置1．实验目的：1. 掌握手工对ASA防火墙进行初始配置的步骤和方法2．实验要点：1. 通过运行vmware中，利用ASDM对ASA防火墙进行手工初始配置。

3．实验设备：1. vmware工具2. 虚拟ASA防火墙一台4．实验环境5．实验步骤：1启动vmware中的ASA1.4。

2启动piped。

3启动putty。

连接成功后显示如下界面在这里面输入yes后然后回车。

接下来要配置日期时间，IP地址，子网掩码。

Host name处填写你自己的学号，比如你的学号为123456789001,就填写123456789001。

Domain name处随意填写即可注意最下面的要输入yes后，单击回车键当前进入的是用户模式进入特权模式进入全局配置模式下面的IP地址*.*.*.*，这里要根据你的主机IP来设置，在主机里命令行使用ipconfig命令查看本机ip本机的ip为10.16.39.44，那么以下的*.*.*.*中的前三个部分就是10.16.39.最后一个部分为150+你的学号后两位。

例如你的学号为20，那么*.*.*.*处就填入10.16.39.170设置一个接口ciscoasa(config)#int E0/0ciscoasa(config-if)#ip address *.*.*.* 255.255.255.0ciscoasa(config-if)#nameif mangerciscoasa(config-if)#security-level 99ciscoasa(config-if)#no shutdownciscoasa(config-if)#exit在防火墙中配置如下ciscoasa(config)# webvpnciscoasa(config-webvpn)# username cisco password ciscociscoasa(config)# http server enable 开启HTTP服务ciscoasa(config)# http *.*.*.0 255.255.255.0 manger 在管理口设置可管理的IP地址启动asdm，device ip填写*.*.*.* , username为cisco，password 为cisco。

Gns3+ASA安装说明1 、进入GNS3设置，首选项--》Qemu-->General Settings2 、进入GNS3设置，首选项--》Qemu-->ASA3 、创建拓扑4 、启动ASA，出面如下界面不要关闭，最小化就可以了4 、SecureCRT登录，端口为3000。

4 、回到命令提示符后，请等大概1 分钟左右，等待FLASH文件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了。

执行/mnt/disk0/lina_monitorPS:再次运行ASA 的时候，将直接启动到ciscoasa>的状态下，不用再执行上面的命令了5、上面的步骤中格式化了FLASH 文件等等，但是在ASA中还是没有加载了FLASH，所以执行show flash:后可用空间为05、停止所有的ASA，然后重新启动ASA，再执show flash:,FLASH 文件已经被加载了基本命令练习1、接口配置Interface E 0/0Ip address 192.168.0.254 255.255.255.0Nameif inside //设置内接口名字Security-level 100 //设置内接口安全级别No shutdownInterface E 0/1Ip add 192.168.1.254 255.255.255.0Nameif dmz //设置接口为DMZSecurity-level 50 //设置DMZ接口的安全级别No shutdownInterface E 0/2Ip address 200.0.0.2 255.255.255.252Nameif outside //设置外接口名字Security-level 0 //设置外接口安全级别No shutdown2、ASA路由配置：静态路由方式(config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1（二）只能通过PC1 telnet 或SSH访问ASA1）telnet的密码配置Passwd 1232) 特权模式密码Enable password 12341、telnettelnet 0 0 inside //允许来自内网的所有用户telnet 登录，外网拒绝telnet 192.168.0.0 255.255.255.255 inside //只允许这台机telnet 登录passwd 1234 //telnet 登录密码who //查哪些用户已登录kill //断开连接的用户2、SSHDomain-name //配置域名，在生成密钥时要用到Crypto key generate rsa modulus 1024Ssh 192.168.0.0 255.255.255.0 insideShow ssh测试：在PC1开SecureCRT.exe测试,默认用户名pix6、为了保证使用命令wr、copy run start 时不出现错误，重新启动ASA 后，在全局配置模式下执行：boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-config遇到错误提示不用理睬它就可以了。

GNS3 0.7.1搭建本地 ASA 和分布式 ASABy 撒加2010-6-12实验环境:本地 ASA 的 IP 地址 192.168.1.113(分布式时使用 , 127.0.0.1(本地 ASA 使用远程 ASA 的 IP 地址 192.168.1.111,ASA1属于 192.168.1.113, ASA2属于192.168.1.111所用软件:GNS3(内含 qemu,qemuwrapper本地 TOP 搭建:1 下载解压过的 asa802-k8.bin 文件, 实验中使用的解压后的 kernel 是 vmlinuz, 启动文件 initrd 是 asa802-k8.gz,所用文件可以到 http://61.160.250.243:1000上下载,用户名 saga,密码 zm800fD4,下载密码将不定期更改,可以留意 和/bbs/上的相关公告2 打开 GNS3,新建一个工程,命名为 ASA。

之后选择“编辑”-->“首选项”-->“qemu”对“General Setting”做如图所示的配置: 之后配置 ASA选项卡,如图:3 拖入 ASA,分别新建 ASA1和 ASA2,TOP 如下:启动两个 ASA 并且 TELNET ,可以看到两个 QEMU 窗口由于是初次运行,可以等 1分钟左右(当然你可以不等, qemu 启动后直接 telnet ,然后点“console” ,登录后,看到如下画面没关系,接下来执行 /mnt/disk0/lina_monitor,就可以开始 asa 体验之旅了下次运行 qemu 的时候,就可以直接 telnet 进入 ciscoasa>的状态了4 验证两个 ASA 的连通性,做如下配置:ciscoasa(config# hostname ASA1ASA1(config# int e0/0ASA1(config-if# ip add 192.168.1.1 255.255.255.0ASA1(config-if# nameif outASA1(config-if# nameif outsASA1(config-if# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA1(config-if# no shASA1(config-if# endASA1# ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5, round-trip min/avg/max = 1/1/1 ms ASA1# ping 192.168.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5, round-trip min/avg/max = 1/20/80 msciscoasa(config# host ASA2ASA2(config# int e0/0ASA2(config-if# ip add 192.168.1.2 255.255.255.0ASA2(config-if# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA2(config-if# no shASA2(config-if# endASA2# ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5, round-trip min/avg/max = 1/8/10 ms 可以看到两个 ASA 是可以 PING 通的分布式 ASA 实验环境搭建1 同“本地 TOP 搭建步骤1”2 打开 GNS3,新建一个工程,命名为 ASA。

GNS3 模拟ASA防火墙配置（详细教程）设计目标：信息安全，使用ASA防火墙，网络拓扑如下图。

要求内部局域网用户共享NAT上网，DNS使用ISP 的DNS服务器，Web服务器放在DMZ区域。

拓扑图如下：1.DMZ区域Web服务器上安装Windows2003系统（虚拟网卡为VNet1），启用IIS6.0搭建。

2.OutSide区域Web_DNS服务器上安装Windows2003系统（虚拟网卡为VNet2），启用IIS使用不同主机头搭建、、，并配置DNS服务器(由于内存有限配置在同一台服务器)，负责解析（IP地址为200.1.1.253/29），、、 (IP地址为200.2.2.1/24）。

3.在PC1（虚拟网卡为VNet3）安装Windows2003系统，配置DNS指向200.2.2.1。

4. ASA开启Telnet、SSH服务器，允许InSide区域内PC1（IP：192.168.0.1）访问管理设备。

5. ASA配置ASDM（自适应安全设备管理器），允许InSide区域内192.168.0.0/24网段使用HTTPS 接入。

6. ASA配置Inside用户共享NAT上网，配置ACL策略限制192.168.0.200-254/24访问外网。

7.ASA配置静态NAT使Outside用户访问DMZ区域的WebSrv8.ASA配置URL访问策略，IP地址范围在192.168.0.1-192.168.0.15中的主机只能访问和，不能访问其它任何网站。

9.禁止所有主机访问。

（注：红色部分将提供详细的实验步骤,并在步骤中提供相应的软件下载链接）实施步骤:一、使用虚拟机搭建IIS网站，配置网站的DNS解析（如会搭建可跳第二步-P10）1.首先是安装配置2003的IIS应用程序和DNS服务器2.搭建Inside和Outside区域的Web服务器后面的设置使用默认设置完成就可以了，接下来肯定就是新建网页文件，和配置网站的默认启用的文档。

gns3 asa防火墙怎么样设置gns3 asa 防火墙设置方法一：模拟支持不太完美保存会出错是正常的执行下列 cli报错正常 gns3重启asa 看看配置boot config disk0:/.private/startup-configcopy running-config disk0:/.private/startup-configwrgns3 asa 防火墙设置方法二：第一步：管理接口配置ip地址，即为其配置命令：1、命令语句：#interface management0/0 //进入管理接口2、命令语句：# nameif guanli //接口名3、命令语句：#ip address 192.168.1.1 255.255.255.0 //ip 地址第二步：安全级别等参数命令语句：# security-level 100 //安全级别通过以上两步参数设置，即可成功添加防火墙设备。

gns3 asa 防火墙设置方法三：web服务器置于防火墙之内：将web服务器放在防火墙内部的好处是它得到了很好的安全保护，不容易被黑客所入侵，但缺点是，不容易被外界所应用。

举个例子，如果web服务器是对外宣传自己的，那么这样配置显然是不合理的，这样客户就不能很好的去访问web服务器，所以具体情况还要具体的分析。

web服务器置于防火墙之外：这个的好处是解决了上述所说的这个问题。

这样配置的好处是内部网被很好的保护，就算是黑客入侵了web服务器，内部网络还是安全的。

缺点就是这种配置对web服务器起不到任何防护作用。

web服务器置于防火墙之上：一些管理者为了提高web服务器的安全性能，将防火墙加在web服务器上，以增强web服务器的安全性能，这样做的缺点就是，一旦web服务器出现问题，整个组织网络就暴露在危险之中了。

所有的防火墙配置都要根据实际情况来操作，不能一概而论，也可以综合多种情况出一个合理的规划。

看了“gns3 asa 防火墙怎么样设置”文章的。

GNS3模拟Cisco+ipsec+vpn配置实例GNS3实验拓扑图R1配置说明：R1只需要按照图在接口上配置好ip地址。

!version 12.4!hostname R1!interface FastEthernet0/0ip address 211.81.208.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 211.81.209.1 255.255.255.0duplex autospeed auto!endR2配置说明：R2在这里使用的是c3660-telco-mz.124-15.T5.bin的IOS,再在slot1插槽上加上NM-16ESW模块模拟交换机；R3同R2模拟交换机。

!version 12.4!hostname R2!interface FastEthernet0/0ip address 11.1.1.2 255.255.255.0duplex autospeed auto!interface FastEthernet1/10switchport access vlan 2!interface Vlan1no ip address!interface Vlan2ip address 192.168.2.1 255.255.255.0 !ip route 0.0.0.0 0.0.0.0 11.1.1.1!endR3配置说明!version 12.4!hostname R3!interface FastEthernet0/0ip address 12.1.1.2 255.255.255.0duplex autospeed auto!interface FastEthernet1/10switchport access vlan 2!interface Vlan1no ip address!interface Vlan2ip address 172.16.2.1 255.255.255.0 !ip route 0.0.0.0 0.0.0.0 12.1.1.1!endASA1配置说明:ASA Version 8.0(2)!hostname asa1enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/0nameif outsidesecurity-level 0ip address 211.81.208.2 255.255.255.0!interface Ethernet0/5nameif insidesecurity-level 100ip address 11.1.1.1 255.255.255.0!access-list icmp extended permit icmp any anyaccess-list nonat extended permit ip 192.168.2.0 255.255.255.0172.16.2.0 255.255.255.0access-list vpn extended permit ip 192.168.2.0 255.255.255.0 172.16.2.0 255.255.255.0global (outside) 1 interfacenat (inside) 0 access-list nonatnat (inside) 1 0.0.0.0 0.0.0.0access-group icmp in interface outsideroute outside 0.0.0.0 0.0.0.0 211.81.208.1 1route inside 192.168.2.0 255.255.255.0 11.1.1.2 1crypto ipsec transform-set set esp-des esp-md5-hmaccrypto map map 111 match address vpncrypto map map 111 set peer 211.81.209.2crypto map map 111 set transform-set setcrypto map map interface outsidecrypto isakmp enable outsidecrypto isakmp policy 11authentication pre-shareencryption 3deshash shagroup 2lifetime 86400crypto isakmp policy 65535authentication pre-shareencryption 3desgroup 2lifetime 86400!tunnel-group 211.81.209.2 type ipsec-l2ltunnel-group 211.81.209.2 ipsec-attributespre-shared-key *: endASA2配置说明asa2# sh run: Saved:ASA Version 8.0(2)!hostname asa2enable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0/0nameif outsidesecurity-level 0ip address 211.81.209.2 255.255.255.0!interface Ethernet0/1shutdownno nameifno security-levelno ip address!interface Ethernet0/5nameif insidesecurity-level 100ip address 12.1.1.1 255.255.255.0!access-list icmp extended permit icmp any anyaccess-list nonat extended permit ip 172.16.2.0 255.255.255.0192.168.2.0 255.255.255.0access-list vpn extended permit ip 172.16.2.0 255.255.255.0 192.168.2.0 255.255.255.0global (outside) 1 interfacenat (inside) 0 access-list nonatnat (inside) 1 0.0.0.0 0.0.0.0access-group icmp in interface outsideroute outside 0.0.0.0 0.0.0.0 211.81.209.1 1route inside 172.16.2.0 255.255.255.0 12.1.1.2 1crypto ipsec transform-set set esp-des esp-md5-hmac crypto map map 111 match address vpncrypto map map 111 set peer 211.81.208.2crypto map map 111 set transform-set setcrypto map map interface outsidecrypto isakmp enable outsidecrypto isakmp policy 11authentication pre-shareencryption 3deshash shagroup 2lifetime 86400crypto isakmp policy 65535authentication pre-shareencryption 3deshash shagroup 2lifetime 86400!!tunnel-group 211.81.208.2 type ipsec-l2ltunnel-group 211.81.208.2 ipsec-attributespre-shared-key *: end配置过程详细：ASA1配置详细：1.端口基础配置asa1(config)# interface ethernet 0/5asa1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default. asa1(config-if)# security-level 100asa1(config-if)# ip address 11.1.1.1 255.255.255.0asa1(config-if)# no shutdownasa1(config-if)# interface ethernet 0/0asa1(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default. asa1(config-if)# security-level 0asa1(config-if)# ip address 211.81.208.2 255.255.255.0asa1(config-if)# no shutdown2.ASA NAT 相关asa1(config)# nat (inside) 1 0 0asa1(config)# global (outside) 1 interfaceINFO: outside interface address added to PAT pool3.ASA 路由asa1(config)# route outside 0.0.0.0 0.0.0.0 211.81.208.1asa1(config)# route inside 192.168.2.0 255.255.255.0 11.1.1.24.ASA做acl允许外部pingasa1(config)# access-list icmp extended permit icmp any anyasa1(config)# access-group icmp in interface outsideB区配置同A区，将相应地址更改！！IPSEC VPN 配置ASA1(此处仅列出asa1的相关配置步骤，asa2配置见ASA2配置说明)1.定义从A区到B区要走vpn的流量，并且不做natasa1(config)# access-list nonat extended permit ip 192.168.2.0 255.255.255.0 172.16.2.0 255.255.255.0asa1(config)# nat (inside) 0 access-list nonat2.启用isakmpasa1(config)# crypto isakmp enable outside3.配置阶段一策略asa1(config)# crypto isakmp policy 11asa1(config-isakmp-policy)# authentication pre-shareasa1(config-isakmp-policy)# encryption 3desasa1(config-isakmp-policy)# hash shaasa1(config-isakmp-policy)# group 2asa1(config-isakmp-policy)# lifetime 864004.配置IPSEC VPN类型为LAN TO LANasa1(config)# tunnel-group 211.81.209.2 type ipsec-l2l5.配置阶段一需要使用的预共享密钥asa1(config)# tunnel-group 211.81.209.2 ipsec-attributesasa1(config-tunnel-ipsec)# pre-shared-key xunshi6.配置需要走vpn的流量asa1(config)# access-list vpn extended permit ip 192.168.2.0255.255.255.0 172.16.2.0 255.255.255.07.配置阶段二策略变换集asa1(config)# crypto ipsec transform-set set esp-des esp-md5-hmac8.配置阶段二的相关mapasa1(config)# crypto map map 111 match address vpnasa1(config)# crypto map map 111 set peer 211.81.209.2asa1(config)# crypto map map 111 set transform-set setasa1(config)# crypto map map interface outside测试：R2#ping 172.16.2.1 source 192.168.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 120/138/168 msR2#R3#ping 192.168.2.1 source 172.16.2.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 172.16.2.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 52/115/228 msR3#。

一、Cisco防火墙简介1、硬件与软件防火墙1>软件防火墙Cisco新版本的IOS软件提供了IOS防火墙特性集，它具备应用层只能状态检测防火墙引擎。

2>硬件防火墙硬件防火墙更具有优势：→功能更强大，且明确是为了抵御威胁而设计的→硬件防火墙比软件防火墙的漏洞少Cisco硬件防火墙技术应用与以下三个领域→PIX 500系列安全设备→ASA 5500系列自适应安全设备→Catalyst 6500系列交换机和Cisco 7600系列路由器的防火墙服务模块（FWSM）2、ASA安全设备Cisco ASA 5500系列自适应安全设备提供了整合防火墙、入侵保护系统（IPS）、高级自适应威胁防御服务。

其中包括应用安全和简化网络安全解决方案的VPN服务。

二、ASA的安全算法1、状态化防火墙ASA首先是一个状态化防火墙，状态化防火墙维护一个关于用户信息的连接表，称为conn表，表中信息如下→源IP地址→目的IP地址→IP协议→IP协议信息（例如TCP序列号，TCP控制位等）默认情况下，ASA对TCP和UDP协议提供状态化连接，但ICMP协议是非状态化的2、安全算法的原理ASA使用安全算法执行以下三步基本操作→访问控制列表：基于特定的网络、主机和服务控制网络访问→连接表（conn）：维护每个连接的状态信息。

安全算法使用此信息在已建立的连接中有效转发流量→检测引擎：执行状态检测和应用层检测。

检测规则集是预先定义的，来验证应用是否遵从每个RFC和其他标准数据的检测过程：首先检查访问控制列表，确定是否允许连接；然后执行路由查询，如果路由正确，将会在conn表中创建相应信息；然后在检测引擎中检查预定义的一套规则，如果已应用，则进一步执行应用层检测；目的主机相应服务；ASA防火墙查看conn连接表，如果表中存在，则执行放行，如果不存在，则检测引擎检查，然后访问控制列表检查。

三、ASA的基本配置1、使用GNS3模拟ASA防火墙需要的文件：→GNS3软件（可以去其官网下载）→asa802-k8.gz镜像文件→vmlinuz内核文件所有的东西也可以去/s/1u9eFW（我的百度云下载，GNS3压缩包里面有所有的东西）打开GNS3后，单击编辑，选择首选项（或者直接按Ctrl+Shift+P）填写以下几项其他默认即可使用ASA防火墙的时候，拽一个防火墙，然后将防火墙的网络改为pcnet，这时的防火墙就可以使用了2、配置主机名和密码1>配置主机名可以使用以下命令配置主机名：(config)#hostname 名字2>配置密码（1）配置特权密码(config)#enable password 密码（2）配置远程登录密码(config)#passwd 密码3、接口的概念与配置1>接口的名称ASA的一个接口通常有两种名称，即物理名称和逻辑名称1)物理名称物理名称与路由器的名称类似，如E0/0，E0/1等ASA 5510及以上的型号还有专门的管理接口，例如management0/02)逻辑名称逻辑名称用户大多数的配置命令，用来描述安全区域。

第3章GNS3用法3.2 GNS3安装登录/download网站，下载最新版的GNS3软件，注意，目前最新版的GNS3软件是version 0.8.2。

安装不住如下。

1、选择GNS3安装程序（如下图），双击图标，启动安装过程。

2、在出现的界面上选择“next”（如下图）。

3、在许可证协议界面选择“I Agree”（如下图）。

4、接下来设置开始菜单文件夹名，默认名字为GNS3，不做修改，并选择“Next”。

5、在出现“组件选择”窗口，选择所有组件，并点击“Next”。

6、接下来选择程序的安装目标，不做修改，选择“Install”，开始安装程序。

7、在安装过程中，如果计算机已经安装了Winpcap程序和WireShark程序，可以选择不安装，也可以选择重新安装。

安装进度如下图。

8、随着安装进度条的进行，程序安装完成，出现如下界面，点击“Finish”完成安装。

启动GNS3，显示界面如下。

下面对GNS3的界面做一个简要介绍。

1、菜单栏菜单栏中有文件(File)、编辑(Edit)、视图(View)、控制（Control）、设备(Device)、标注(Annotate)和帮助(Help)菜单。

如下图。

（1）文件菜单包括新建拓扑(New blank Topology)、打开(Open)、保存(Save)、新建项目(New blank Project)、保存项目(Save Projectt as)等菜单项。

（2）编辑菜单包括撤销(undo)与恢复(redo)、选择所有设备(Select all)等菜单项以及软件环境配置菜单如参数配置(preferences)和IOS配置（IOS Images and Hypervisors）。

（4）视图菜单包括设备图标的放大(zoom in)、缩小(zoom out)菜单项、设备名称隐藏（Hide Hostname）和显示接口标签(Show Interface labels)等开关菜单项工具栏的显示、隐藏开关等菜单项。