基本规则
1) 默认情况下,ASA只对穿越的TCP/UDP流量维护状态化信息,由于ping使用icmp,所以默认是ping不通的。
2) 接口安全级别的范围为0-100,inside接口安全级别默认为100,其他接口为0。
3) 默认情况下,从高安全级别接口往低安全级别接口的流量是放行的;从低安全级别接口到高安全级别接口的流量是不允许的,但可以通过ACL放行;相同安全级别的接口间流量不允许相通,但可通过same-security-traffic permit inter-interface命令放行。
rommon模式重传镜像
1) 网线连接ASA GigabitEthernet0/0(第一个接口)与PC,设置PC ip为192.168.1.2。
2) 配置并开启TFTP Server,将镜像文件放在Tftpd32 Current Directory目录中。
3) 通过console接口连接ASA,在终端中按Esp键进入rommon模式,执行以下命令:
rommon #0>ADDRESS=192.168.1.1
rommon #1>IMAGE=asa842-k8.bin
rommon #2>PORT= GigabitEthernet0/0
rommon #3>SERVER=192.168.1.2
rommon #3>unset GATEWAY
rommon #4>tftpdnld
接着ASA将重启
添加本地用户
ASA(config-if)# username usr password pwd
telnet登录配置
最低安全级别的接口不支持telnet,如outside。
1) 使用telnet密码登录
ASA(config)# telnet 192.168.1.0 255.255.255.0 inside //该网段的IP都能访问
ASA(config)# password cisco
2) 使用本地用户名和密码登录
ASA(config)#username cisco privilege 15 password cisco
ASA(config)# aaa authentication telnet console LOCAL
ssh登录配置
最低安全级别的接口支持ssh登录,如outside。
1) 使用本地用户名和密码登录
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# ssh 192.168.254.131 255.255.255.255 inside //只能特定IP访问
ASA(config)# ssh 192.168.254.0 255.255.255.0 inside //该网段的IP都能访问
ASA(config)#username cisco privilege 15 password cisco
ASA(config)# aaa authentication ssh console LOCAL
访问控制ACL
1、 Inside、DMZ 网段ping 不通outside网段的
原因:
1) Inside 网段发起的ICMP ECHO包能够抵达outside
2) Outside 网段返回的ICMP ECHO REPLAY因为ASA的默认策略被拒绝
解决办法:
1) Inspect
policy-map global_policy
class inspection_default
inspect icmp
2) access-list
access-list out permit icmp any any //
access-group out in interface outside //由outside接口调用out列表
2、 Inside、DMZ 网段telnet登录outside网段能成功,反之不通
解决办法:
access-list in permit tcp host outhostIP host inhostIP eq 23
access-group in in interface outside //由outside端口调用in规则