百诺教育-ASA防火墙-4

防火墙路由和交换

防火墙vlan应用

在dmz区域应用三个vlan.

创建逻辑和物理接口

int e3.1

vlan 10

分配vlan名称和安全级别

interface e3.1

vlan 10

nameif dmz1

security-level 10

分配vlan的ip地址

int 3.1

no sh

ip add 172.16.10.1 255.255.255.0

静态路由

route outside 0.0.0.0 0.0.0.0 192.168.0.1 1

route inside 10.0.1.0 255.255.255.0 10.0.0.102 1

动态路由

版本7.x支持rip和ospf

版本8.x支持rip、eigrp和ospf

版本7.x ospf只支持2个进程

捞版本rip和ospf不能同时配置

新版本rip和ospf可以同时配置

动态路由:rip

router rip

version 2

network 10.0.0.0

network 10.0.0.0

network 192.168.0.0

no auto-summary

rip协议认证

rip authentication key cisco key-id 1

md5认证：

rip authentication mode md5

明文认证

rip authentication mode text

动态路由:ospf

支持内部区域，interarea,和外部(1型和2)线路。

支持虚拟连接

ospf报文的认证。

支持配置为dr,安全设备的abr,和有限的asbr的功能。

abr的过滤类型3的lsa.

路由重发布

配置ospf

router ospf 1

network 1.1.1.0 255.255.255.0 area 0

network 2.2.1.0 255.255.255.0 area 2.2.0.0

network 10.0.0.0 255.255.255.0 area 10.0.0.0

两个ospf进程

一个进程是公共场所，一个进程是私有网络

nat是使用：lsa的类型3，需要过滤。

ospf认证的配置

ospf authentication-key cisco

md5:

ospf authentication message-digest

明文:

ospf authentication

动态路由:eigrp

在本版本8.0后支持eigrp协议。

支持末节区域。

支持重发布。

eigrp配置

router eigrp 100

no auto-summary

network 10.1.1.0 255.255.255.0

net 2.2.0.0 255.255.0.0

vpn配置:打开isakmp enable

isakmp enable outside

isakmp policy 10

encryption des

hash md5

authentication pre-share

group 2

lifetime 86400

crypto isakmp key cisco address 202.100.1.1

(或使用tunnel-group 202.100.1.1 ipsec-attributes

pre-shared-key cisco123)

ipsec策略：

access-list 100 permit ip 10.1.1.0 255.255.255.0 40.1.1.0 255.255.255.0

如果要穿越vpn必须把感兴趣流量不转换:

nat (inside) 0 access-list 100

crypto ipsec transform-set myset esp-des esp-md5-hmac(定义转换集)

crypto map mymap 10 match address 100(匹配感兴趣流量)

crypto map mymap 10 set peer 202.100.1.1(set对等体key)

crypto map mymap 10 set transform-set myset(set转换集)

接口应用:

crypto map mymap interface outside

outside:

crypto isakmp policy 10

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

crypto isakmp key 0 cisco address 202.100.1.10

crypto ipsec transform-set myset esp-des esp-md5-hmac

exit

crypto map mymap 10 ipsec-isakmp

set peer 202.100.1.10

set transform-set myset

match address 100

access-list 100 permit ip 40.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255

int e1/0

crypto map mymap