Cisco路由器与防火墙配置大全

Cisco 2811 路由器配置大全
命令状态
1. router>
路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router#
在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3. router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5. >
路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

6. 设置对话状态
这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。

三、设置对话过程
1. 显示提示信息
2. 全局参数的设置
3. 接口参数的设置
4. 显示结果
利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。

进入设置对话过程后，路由器首先会显示一些提示信息：
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。

然后路由器会问是否进入设置对话：
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车，路由器就会进入设置对话过程。

首先你可以看到各端口当前的状况：
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……………………………
然后，路由器就开始全局参数的设置：
Configuring global parameters:
1．设置路由器名：
Enter host name [Router]:
2．设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3．设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4．设置虚拟终端访问时的密码：
Enter virtual terminal password: cisco
5．询问是否要设置路由器支持的各种网络协议：
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6．如果配置的是拨号访问服务器，系统还会设置异步口的参数：
Configure Async lines? [yes]:
1) 设置线路的最高速度：
Async line speed [9600]:
2) 是否使用硬件流控：
Configure for HW flow control? [yes]:
3) 是否设置modem：
Configure for modems? [yes/no]: yes
4) 是否使用默认的modem命令：
Configure for default chat script? [yes]:
5) 是否设置异步口的PPP参数：
Configure for Dial-in IP SLIP/PPP access? [no]: yes 6) 是否使用动态IP地址：
Configure for Dynamic IP addresses? [yes]:
7) 是否使用缺省IP地址：
Configure Default IP addresses? [no]: yes
是否使用TCP头压缩：
Configure for TCP Header Compression? [yes]:
9) 是否在异步口上使用路由表更新：
Configure for routing updates on async links? [no]: y 10) 是否设置异步口上的其它协议。

接下来，系统会对每个接口进行参数的设置。

1．Configuring interface Ethernet0:
1) 是否使用此接口：
Is this interface in use? [yes]:
2) 是否设置此接口的IP参数：
Configure IP on this interface? [yes]:
3) 设置接口的IP地址：
IP address for this interface: 192.168.162.2
4) 设置接口的IP子网掩码：
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：
The following configuration command script was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。

显示结束后，系统会问是否使用这个设置：
Use this configuration? [yes/no]: yes
如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。

返回目录
四、常用命令
1. 帮助
在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。

2. 改变命令状态
任务命令
进入特权命令状态 enable
退出特权命令状态 disable
进入设置对话状态 setup
进入全局设置状态 config terminal
退出全局设置状态 end
进入端口设置状态 interface type slot/number
进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint] 进入线路设置状态 line type slot/number
进入路由设置状态 router protocol
退出局部设置状态 exit
3. 显示命令
任务命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip router
4. 拷贝命令
用于IOS及CONFIG的备份和升级
5. 网络命令
任务命令
登录远程主机 telnet hostname|IP address
网络侦测 ping hostname|IP address
路由跟踪 trace hostname|IP address
6. 基本设置命令
任务命令
全局设置 config terminal
设置访问用户及密码 username username password password 设置特权密码 enable secret password
设置路由器名 hostname name
设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 password password
五、配置IP寻址
1. IP地址分类
IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：
种类网络地址范围
A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留
C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留
D 224.0.0.0到239.255.255.255用于多点广播
E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播
2. 分配接口IP地址
任务命令
接口设置 interface type slot/number
为接口设置IP地址 ip address ip-address mask
掩玛（mask）用于识别IP地址中的网络地址位数，IP地址（ip-address）和掩码（mask）相与即得到网络地址。

3. 使用可变长的子网掩码
通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。

如下图所示：
Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址，Router1的E0的网络地址为192.1.0.128,掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。

4. 使用网络地址翻译（NAT）
NAT（Network Address Translation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.
当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的.
l Class A:10.1.1.1 to 10.254.254.254
l Class B:172.16.1.1 to 172.31.254.254
l Class C:192.168.1.1 to 192.168.254.254
命令描述如下：
任务命令
定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]
定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}
指定内部和外部端口 ip nat {inside | outside}
如下图所示，
路由器的Ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial 0端口为outside端口，其拥有合法IP地址（由NIC或服务提供商所分配的合法的IP地址）,来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址，经由Serial 0口访问Internet。

命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法IP地址，它是由NIC或服务提供商所分配的地址）。

命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下：
ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192
interface Ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial 0
ip address 202.200.10.5 255.255.255.252
ip nat outside
!
ip route 0.0.0.0 0.0.0.0 Serial 0
access-list 2 permit 10.0.0.0 0.0.0.255
! Dynamic NAT
!
ip nat inside source list 2 pool c2501 overload
line console 0
exec-timeout 0 0
!
line vty 0 4
end
六、配置静态路由
通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。

任务命令
建立静态路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到达的目的网络
mask :子网掩码
address :下一个跳的IP地址，即相邻路由器的端口地址。

interface :本地网络接口
distance :管理距离（可选）
tag tag :tag值（可选）
permanent :指定此路由即使该端口关掉也不被移掉。

以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于
192.1.0.64/26的网络范围的数据报，应将其路由到地址为192.200.10.6的相邻路由器。

在Router3上设置了访
问192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。

由于在Router1上端口Serial 0地址为192.200.10.5，192.200.10.4/30这个网属于直连的网，已经存在访问192.200.10.4/30的路径，所以不需要在Router1上添加静态路由。

Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由，
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。

ASA5510 配置手册
使用console连接线登录方法
1.使用cisco专用com连接线，连接设备的console口和计算机com口
2.使用超级终端或secureCRT软件连接设备
串行选项：波特率：9600 数据位：8 奇偶校验：无停止位：1 数据流控制: RTS/CTS
3.输入en,提示输入密码
show run 查看设备当前配置
configure ter 进入配置模式，输入前提示设备名(config)#
1. 设置主机名：
<config>#hostname szhndasa
2. 设置时区：
szhndasa<config>#clock timezone EST 7
3. 设置时钟：
Szhndasa#clock set 15:45:30 28 FEB 2008
4. 配置内接口IP
Szhndasa<config>#int Ethernet 0/0
Szhndasa<config-if>#nameif inside
Szhndasa<config-if>#security-level 100
Szhndasa<config-if>#ip address 192.168.55.254 255.255.255.0
5 配置外部接口IP
Szhndasa<config>#int Ethernet 0/1
Szhndasa<config-if>#nameif outside
Szhndasa<config-if>#security-level 0
Szhndasa<config-if>#ip address 210.X.X.X 255.255.255.248
6.配置用户名和密码
Szhndasa<config>#username admin password ********* encrypted privilege 15 注：15 表示有最高权限
7.配置HTTP 和TELNET
Szhndasa<config>#aaa authentication telnet console LOCAL Szhndasa<config>#http server enable
Szhndasa<config>#http 192.168.55.0 255.255.255.0 inside Szhndasa<config>#telnet 192.168.55.0 255.255.255.0 inside
8.配置site to site vpn
crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 210.75.1.X
crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 20 set nat-t-disable
crypto map outside_map interface outside
注：还可通过http 方式用ASDM 管理软件图形化配置ASA
ASA5510# SHOW RUN
: Saved
:
ASA Version 7.0(6)
!
hostname ASA5510
enable password 2KFQnbNIdI.2KYOU encrypted names
dns-guard
!
interface Ethernet0/0 此接口为外部网络接口nameif outside 设置为 OUTSIDE 外部接口模式security-level 0 外部接口模式安全级别为最高 0
ip address 192.168.3.234 255.255.255.0 添加外部IP地址（一般为电信÷网通提供）!
interface Ethernet0/1此接口为内部网络接口
nameif inside设置为 INSIDE 内部接口模式
security-level 100内部接口模式安全级别为 100
ip address 10.1.1.1 255.255.0.0添加内部IP地址（一般为公司自行分配）
!
interface Ethernet0/2 没用到 SHUTDOWN 关闭
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0没用到 SHUTDOWN 关闭
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0 没用，用网线连接管理的端口。

management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT ID
nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址
route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 内部所有地址访问外部地址出口为电信－网通提供的网关地址timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围为10.1.1.30－200
dhcpd address 192.168.1.2-192.168.1.254 management 无效
dhcpd dns 192.168.0.1 DNS 添加：可以是电信网通提供直接添加，或者自己的DNS服务器地址。

dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd domain suzhou.jy 域名
dhcpd enable inside 打开内部网段自动分配
dhcpd enable management 无效
Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4
access-group icmp_in in interface outside 这两句表示，
access-list icmp_in extended permit icmp any any 润许PING包发送或接收
: end
HSRP的概念：
热备份路由协议为IP网络提供了容错和增强的路由选择功能，是cisco平台所特有的技术，它确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。

HSRP的工作原理：
HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC 地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。

活跃路由器：RA 的功能是转发到虚拟路由器的数据包，组中的另一台路由器被选为备份路由器。

活跃路由器通发送Hello消息来承担和保持它活跃的角色。

备份路由器; RB 功能是监视HSRP组的运行状态，当活跃路由器出现故障时，迅速承担起转发数据包的责任。

虚拟路由器：是LAN上的网关，作用是向用户代表一台可以连续工作的路由器。

路由器RA和RB共同维护这台虚拟路由器。

HSRP的3个消息：
Hello消息------发送该消息表明路由器正在运行，并且能够成为活跃路由器和备份路由器。

默认
3S发送一次HELLO消息。

Coup政变消息--------意思就是说，当活跃路由器出现故障的时候，备份路由器向变成活跃路由器的时候会发送政变消息。

Resign 辞职消息-------意思就是说，我不想在做活跃路由器或者备份路由器的时候，想退出HSRP 备份组的时候会发送辞职消息。

HSRP的6个状态：
1.初始状态（所有路由器都是从初始状态开始的，比如刚启动路由器的时候就是初始状态）
2.学习状态（路由器等待来自活跃路由器的消息）
3.监听状态（路由器知道了虚拟IP地址，但它即不是活跃路由器也不是备份路由器，来监听来自活跃和备份路由器的Hello消息）
4.发言状态（路由器接到Hello消息，参与活跃和备份路由器的竞选）
5.备份状态（路由器成为了备份路由器，并成为下一个活跃路由器的候选者）
6.活跃状态（在活跃状态，路由器负责转发发送到备份组的虚拟MAC地址的数据包）
小提示：要想学好HSRP，那么3个消息和6个状态要很好的理解
理论的知识就这么多了，下面我来把上面拓扑图的实验配置命令写一下吧
只配置路由器RA和RB的命令，交换机打开就OK了，不用配置。

RA的配置：活跃路由器
Route(config)#int s0/0
Route(config-if)#ip add 219.37.1.2 255.255.255.248 （模拟电信的公网IP）
Route(config-if)#no sh
Route(config)#int f0/0
Route(config-if)#ip add 172.16.10.1 255.255.255.0
Route(config-if)#no sh
Route(config-if)#standby 172 ip 172.16.10.254 (设置HSRP的组名为172，虚拟IP为
172.16.10.254)
Route(config-if)#standby 172 priority 120 (设置HSRP组172的优先级为120)
Route(config-if)#standby 172 preempt (设置HSRP路由器的占先权，意思就是当活跃路由器RA 出现故障了，备份路由器RB变成活跃
路由器的时候。

RA经过维修又可以工作的时候配置的，RA可以正常工作的时候会发送政变消息，配置占先是很重要的)
路由器RB的配置：备份路由器
Route(config)#int s0/0
Route(config-if)#ip add 219.37.1.1 255.255.255.248 （模拟网通的公网IP）
Route(config-if)#no sh
Route(config)#int f0/0
Route(config-if)#ip add 172.16.10.2 255.255.255.0
Route(config-if)#no sh
Route(config-if)#standby 172 ip 172.16.10.254 (设置HSRP的组名为172，虚拟IP为
172.16.10.254)
Route(config-if)#standby 172 priority 110 (设置HSRP组172的优先级为110)
配置的命令就这些，我的拓扑图的外部网络没画好，应该用一台路由器来代替可以验证HSRP的结果，你们用模拟器来做这个实验的时候可以用路由器来做，可以更好的验证试验结果，可以PING通外网的路由器的话，在把RA的接口DOWN掉看还可以PING通外网路由器不，可以的话说明HSRP切换过来了。

我是模拟公网来做的，
如果是公网的话在路由器RA和RB上面都要做默认路由和NAT地址转换才可以实现内网上互联网的要
求。

查看HSRP的（SHOW）命令：show standby 172 brief (查看HSRP的配置情况)
小提示：HSRP协议是Cisco公司的私有协议，只能在CISCO路由器上实现，别的厂商的路由器可以用VRRP协议来做热备份路由协议，VRRP和HSRP协议很相似，工作原理都一样，但是VRRP是公有协议。

(责任编辑：admin)
NAT：
共4步：
找到要配置的路由器：
1，内网接口：
ip nat inside
2，外网接口
ip nat outside
3，使用访问控制列表来定义范围：
全局：
access-list 1 permit 192.168.1.0 0.0.0.255
4，全局：
ip nat inside source list 1 interface s 1/0 overload
(注意：使用指定接口，防止下一跳地址改变导致nat不可实现)
端口映射，反向NAT
IP：
ip nat inside source static 192.168.1.1 202.106.1.5
端口：
ip nat inside source static tcp 192.168.1.1 80 202.106.1.10 80
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname nat-r1
!
e nable secret 5 $1$FEQr$INhRecYBeCb.UqTQ3b9mY0
!
ip subnet-zero
!
!
!
!
interface Ethernet0
ip address 172.18.150.150 255.255.0.0
no ip directed-broadcast
ip nat inside /* 定义此为网络的内部端口 */
!
interface Serial0
ip address 192.1.1.161 255.255.255.252
no ip directed-broadcast
ip nat outside /* 定义此为网络的外部端口 */
no ip mroute-cache
no fair-queue
!
interface Serial1
no ip address
no ip directed-broadcast
shutdown
! /* 定义从ISP那里申请到的IP在企业内部的分配策阅 */
ip nat pool tech 192.1.1.100 192.1.1.120 netmask 255.255.255.0
ip nat pool deve 192.1.1.121 192.1.1.150 netmask 255.255.255.0
ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0
ip nat pool soft-1 192.1.1.170 192.1.1.179 netmask 255.255.255.0
ip nat pool soft-2 192.1.1.151 192.1.1.159 netmask 255.255.255.0
ip nat pool temp-user 192.1.1.160 192.1.1.160 netmask 255.255.255.0 /* 将访问列表与地址池对应，以下为动态地址转换*/
ip nat inside source list 1 pool tech
ip nat inside source list 2 pool deve
ip nat inside source list 3 pool manager
ip nat inside source list 4 pool soft-1
ip nat inside source list 5 pool soft-2
/* 将访问列表与地址池对应，以下为复用动态地址转换*/ ip nat inside source list 6 pool temp-user overload
/* 将访问列表与地址池对应，以下为静态地址转换*/ ip nat inside source static 172.18.100.168 192.1.1.168
ip nat inside source static 172.18.100.169 192.1.1.169
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 /* 设置一个缺省路由 */
! /* 内部网访问地址表，他指出内部网络能访问外部网的地址段，
分别定义是为了对应
不同的地址池 */
access-list 1 permit 172.18.107.0 0.0.0.255
access-list 2 permit 172.18.101.0 0.0.0.255
access-list 3 permit 172.18.108.0 0.0.0.255
access-list 4 permit 172.18.103.0 0.0.0.255
access-list 4 permit 172.18.102.0 0.0.0.255
access-list 4 permit 172.18.104.0 0.0.0.255
access-list 5 permit 172.18.105.0 0.0.0.255
access-list 5 permit 172.18.106.0 0.0.0.255
access-list 6 permit 172.18.111.0 0.0.0.255
!
line con 0
transport input none
line 1 16
line aux 0
line vty 0 4
login
!
end
从外网通过MSTSC访问内网的一台PC
具体PC如下:
首先,在OUTSIDE的接口上允许来自ANY的地址访问这个PORT
access-list 102 extended permit tcp any host XXX.XXX.XXX.XXX eq 3389
然后做一个端口重定向
static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0 OK!从外网用远程桌面访问ＡＳＡ的outside ip，可以成功登陆到内网的ＰＣ．
ＡＳＡ上成功配置了静态的ＮＡＴ．
理解Cisco PIX 防火墙的转换和连接
1.ASA安全等级
默认情况下，Cisco PIX防火墙将安全等级应用到每一个接口。

越安全的网络段，
安全级别越高。

安全等级的范围从0~100,默认情况下，安全等级0适应于e0,并且它的默认名字是外部(outside),安全等级100适应于e1.并且它的
默认名字是inside.
使用name if 可以配置附加的任何接口，安全等级在1~99之间
e.g:
nameif e thernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
1.1自适应安全算法(ASA)允许流量从高安全等级段流向低安全等级段，不需要在安全策略中使用特定规则来允许这些连接，而只要用一个nat
/global命令配置这些接口就行了。

1.2同时如果你想要低安全等级段流向一个高安全等级段的流量必须经过安全策略(如acl或者conduit).
1.3如果你把两个接口的安全等级设置为一样，那流量不能流经这些接口
请记得ASA是cisco pix防火墙上状态连接控制的关键。

2.传输协议
2.1首先请理解一下OSI的7层模型，说实话，如果你要做IT,那么这个OSI的7层模型一定要搞懂，也就像windows 的DNS 一样，一定要花工夫在
上面。

其中1~7是从物理层向上数的，物理层为第一层，应用层为第七层。

应用层数据
表示层数据
会话层数据
传输层 Segment
网络层 Packet
数据链路层 Frame
物理层 Bit
2.2了解一下TCP/IP
通俗的讲TCP/IP包含两个传输协议TCP,UDP,当然还包括其他，TCP/IP是一个协议族，是对OSI理论的一个实现，是真正应用到网络中的一个
工业协议族。

TCP-它是一个基于连接的传输协议，负责节点间通信的可靠性和效率,通过创建virtual circuits的连接来源端和目的端担当双向通信来完
成这些任务，由于开销很大，所以传输速度变慢。

UDP-它是一个非连接的传输协议，用于向目的端发送数据
理解没有PIX的节点间的TCP通信(三次握手)
理解有一个PIX的节点间TCP通信
2.3注意默认的安全策略允许UDP分组从一个高安全等级段送到一个低安全等级段。

cisco pix 防火墙用下列的方法来处理UDP流量:
2.3.1源及其开始UDP连接，Cisco pix防火墙接收这个连接，并将它路由到目的端。

Pix应用默认规则和任何需要的转换，在状态表中创
建一个会话对象，并允许连接通过外部接口
2.3.2任何返回流量要与绘画对象匹配，并且应用会话超时，默认的会话超时是2分钟.如果响应不匹配会话对象,或者超时,分组就会被
丢弃,如果一切匹配,就会允许响应信号传送到发送请求的源端
2.3.3任何从一个低安全等级段到一个高安全等级段的入站的UDP会话都必须经安全策略允许,或者中断连接.
3.网络地址转换
理解RFC1918的三类地址空间:
10.0.0.0~10.255.255.255
172.16.0.0~172.16.255.255
192.168.0.0~192.168.255.255
地址转换是cisco pix防火墙为内部节点提供的使用专用IP地址访问internet的一种方法.被转换的地址称为内部地址,转换后的地址称为全局地址.
这里有一句话要记住:将一个接口的任何地址转换成其他任何地址接口的另外一个地址是可能的,这句话意思是如果你的网段内部地址可以转换
成outside的地址,也可以转换成DMZ的地址,只要正确的使用了nat和global命令.
如:
global (outside) 1 interface
global (dmz) 1 xxx.xxx.xxx.xxx
nat (inside) 1 192.168.6.0 255.255.255.0 0 0
动态地址转换涉及到NAT和PAT,静态地址也就是我们通常所说的给DMZ接口的地址作一个静态隐射,通常用于如web site和mail server等相对关键
的业务.以便Internet上的用户可以通过他们的全局地址连接这些服务器.
NAT命令
pix(config)#nat inside 1 192.168.6.0 255.255.255.0
pix(config)#global (outside) 1 10.0.0.1~10.0.0.255 netmask 255.0.0.0
注意命令中的1在nat和global命令必须相同,它允许指派特定的地址进行转换.
在这里1不能换0,你可以换其他的数,因为nat 0在pix有特定的含义,nat 0表示在pix上用于检测不能被转换的地址,我们通常在做acl转换也应用到这
个命令.
PAT命令:
PAT允许将本地地址转换成一个单一的全局地址,执行NAT和PAT命令有所相似,不同的是PAT是定义一个单一的全局地址而不是像NAT一样定义一
定范围的地址.
pix(config)#nat (inside) 1 0.0.0.0 0.0.0.0 表示转换网段中的所以地址
pix(config)#global (inside) 10.0.0.1 255.0.0.0
静态地址:
通常将static和conduit命令一起使用,或者可以使用acl来代替conduit
static命令只配置地址转换,为了允许来自一个从低安全等级接口对本地节点的访问,我们前面讲过,需要配置ACL或者建立一个通道.
pix(config)#static (inside,outside) 10.0.0.1 192.168.0.9
pix(config)#conduit permit tcp host 192.168.0.9 eq www any
(这里host表示的是指一个特定的主机host 192.168.0.9表示192.168.0.9 255.255.255.255为什么要是
255.255.255.255,别搞成为subnet mask,它是
wildcard,也就是通配符,any表示任何源地址和目的地址,0.0.0.0 255.255.255.255.eq is mean the match only packets on a given port number.)
这里我们可以把conduit转换成ACL
pix(config)#access-list 101 permit tcp any host 192.168.0.9 eq www
pix(config)#access-group 101 in interface outside
使用static命令实现端口重定向
pix(config)#static (inside,outside) tcp 192.168.0.9 ftp 10.10.10.9 2100 netmask 255.255.255.255. 0.0
其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.
这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.
在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?
他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:
show xlate查看转换表
show conn查看连接状况
有很多命令选项,大家可以在cli下show xlate ?查看一下,对你处理故障非常有用.
5.配置DNS支持
在默认情况下,PIX鉴别每个输出的DNS请求,并且只允许一个对这些请求的响应.随后所有对原始查询的响应会被丢弃.
所以有时候我们在pix使用show conn看到有很多去DNS的响应都被丢掉,这个是合理的现象.
asa5510(config)#
asa5510(config)# show run
: Saved
:
ASA Version 7.0(7)
!
hostname asa5510主机名
domain-name 域名
enable password FgQ836L.2fG/AEir encrypted ASDM的登陆密码
names
dns-guard
!
interface Ethernet0/0 外部接口
nameif outside 接口名
security-level 0
ip address X.X.X.X 255.255.255.248 IP地址
!
interface Ethernet0/1内部接口
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0 ip地址，内部电脑的网关
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 1.1.1.1 255.255.255.0
management-only 管理接口可以关闭默认192.168.1.1
!
passwd WXjstPgDOxFTLAaA encrypted
ftp mode passive
object-group network Public 定义一个IP组组名为Public （做ACL的时候可以方便减少ACL条目、这里做的是IP组，其实还可以基于服务来做个组，）
network-object host 192.168.1.2定义组内的IP
network-object host 192.168.1.3
network-object host 192.168.1.4
network-object host 192.168.1.5
network-object host 192.168.1.6
network-object host 192.168.1.7 这些组里的IP在后面将被引用
access-list 102 extended permit icmp any any
access-list 102 extended permit ip any any定义ACl
access-list 111 extended permit ip host 192.168.1.16 any
access-list 111 extended permit ip object-group Public any 定义ACL 注意这里的源地址引用的是一个我们前面定义的地址组，
access-list 111 extended deny ip any any 这里是拒绝所有，大家应该知道我的ACL的意思了吧，拒绝所有人上网。

上面允许的除外
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
asdm image disk0:/asdm-507.bin 指定ASDM路径，开启ASDM的命令之一，至于ASDM版本，大家可以DIR 的命令来查看到，
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 nAT转换，吧内部接口的所有IP转换到外部的公网IP，让所有内部IP可以上网，
access-group 102 in interface outside
access-group 111 in interface inside 这2个是引用前面定义的ACL一个外部接口一个内部接口如果没和我一样的只允许部分IP上网的需求的可以不要INSIDE的ACL以及ACL 111的条目
route outside 0.0.0.0 0.0.0.0 xx.x.x.x 1外部的默认路由 x.x.x.x为公网的网关
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username cisco1 password W0ATeFBkCO3ErmVn encrypted privilege 15(asdm SSH登陆用户名和密码) aaa authentication ssh console LOCAL (SSH 登陆启用本地认证,就是上面的cisco1)
http server enable(激活ASDM)
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside(在外部和内部借口上启用ASDM)
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside启用内部的TELNET
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside(起用内部和外部接口的SSH)
ssh timeout 30
ssh version 2 SSH版本2
console timeout 0。