ASA5510配置手册
2010-12-23 14:52
ASA5510 配置手册
使用console连接线登录方法
1.使用cisco专用com连接线,连接设备的console口和计算机com口
2.使用超级终端或secureCRT软件连接设备
串行选项:波特率:9600 数据位:8 奇偶校验:无停止位:1 数据流控制: RTS/CTS 3.输入en,提示输入密码
show run 查看设备当前配置
configure ter进入配置模式,输入前提示设备名(config)#
1. 设置主机名:
2. 设置时区:
szhndasa
3. 设置时钟:
Szhndasa#clock set 15:45:30 28 FEB 2008
4. 配置内接口IP
Szhndasa
Szhndasa
Szhndasa
Szhndasa
5 配置外部接口IP
Szhndasa
Szhndasa
Szhndasa
Szhndasa
6.配置用户名和密码
Szhndasa
privilege 15 注:15 表示有最高权限
7.配置HTTP 和TELNET
Szhndasa
Szhndasa
Szhndasa
Szhndasa
8.配置site to site vpn
crypto map outside_map 20 match address outside_cryptomap_20_1
crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 210.75.1.X
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 set nat-t-disable
crypto map outside_map interface outside
Cisco清除配置使用:erase startup-config(删除NVRAM中的内容),然后重启路由器reload;
华为清除配置使用:reset saved-configuration,重启路由器reboot;
Cisco路由器、交换机口令恢复专题:https://www.sodocs.net/doc/6211239791.html,/CMS/Pub/special/special_pass word/index.htm 选择性通告路由:
如在RIP设置中,让S0端口只收不发RIP通告。
Router(config)#router rip
Router(config-router)#passive-interface serial 0
关于快捷键:
ctrl+b(backward) 光标左移一个字符
ctrl+f(foreward) 光标右移一个字符
ctrl+a(a是?????) 光标移到命令开头
ctrl+e(end) 光标移到命令末端
esc+b (backward) 光标左移一个词
esc+f (foreward) 光标右移一个词
ctrl+z一次性退出特权模式Router# 关于模式:用户模式(user execution mode),特权模式(privilege execution ode),以及在全局配置模式下的具体配置模式(如路由接口配置模式,路由子接口配置模式,路由协议配置模式,line 的是用户模式,特征是有符号">",用户模式只能查找路由的配置和状态,不能配置路由,需要配置路由必须进入特权码,需要正确密码才能进入,进入特权模式,其特征是有符号"#".从特权模式进入路由全局配置模式命令是:configur 从全局配置模式进入各个具体配置模式的命令如下:
特权模式--->路由接口配置模式
interface serial??(串口)
interface ethernet??(以太网口)
特权模式--->路由子接口配置模式
subinterface
特权模式--->路由协议配置模式
route rip
特权模式--->line配置模式
line vty ? ?
以下是各个模式下的命令以及用法:
用户模式:Router>
show ping telnet connect的用法和特权模式一样
特权模式:Router#
show users 查看连接到路由器的所有用户
show hosts 查看ip和名字的映射表
show arp查看ip地址解释
show protocol 查看路由器的协议
show version 查看ISO的版本,内存
show flash 查看flash使用状况
show clock 查看路由器的时间
show history 查看最近输入的十个命令
show ip interface brief 查看接口的ip设置和状态
show interfaces 查看路由器所有端口的状态
show interfaces 具体端口查看路由器特定端口的状态
show running-config查看在RAM中的配置文件
show startup-config查看在NVRAM中的配置文件
show cdp查看cdp的信息
show cdp entry ??(router) 查看特定的邻近连接的路由器
show cdp neighbors 查看所有邻近连接的路由器
show cdp neighbors detail 查看所有邻近连接的路由器详细信息
show cdp traffic 查看cdp数据包的信息
show cdp ??(端口号) 查看特定端口的cdp信息
show session 远程登陆下查看原路由器的状态
clear cdp counters 清除CDP计数器
clear cdp table 清除CDP信息
copy running-config startup-config把在RAM中的配置文件复制到NVRAM中copy startup-config running-config把在NVRAM中的配置文件复制到RAM中copy tftp running-config把tftp服务器的配置文件传到RAM中
copy running-configtftp把RAM中的配置文件传到tftp服务器
ping ??(名字或ip) 检查路由器与远端路由器的连通性
telnet ??(名字或ip) 远程登陆路由器(需要登陆密码)
connect ??(名字或ip) 和telnet一样
traceroute ??(名字或ip) 查看经过的路由
全局配置模式:Router(config)#
hostname ???(名字) 更改路
以下是引用片段:
ASA5510# SHOW RUN
: Saved
:
ASA Version 7.0(6)
!
hostname ASA5510
enable password 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface Ethernet0/0 此接口为外部网络接口
nameif outside 设置为OUTSIDE 外部接口模式
security-level 0 外部接口模式安全级别为最低0
ip address 192.168.3.234 255.255.255.0 添加外部IP地址(一般为电信/网通提供)!
interface Ethernet0/1此接口为内部网络接口
nameif inside设置为INSIDE 内部接口模式
security-level 100内部接口模式安全级别最高为100
ip address 10.1.1.1 255.255.0.0添加内部IP地址
!
interface Ethernet0/2 没用到
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0 没用,用网线连接管理的端口。management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface 一定要打表示PAT端口扩展:“1”为其NAT ID
nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址
route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 缺省路由
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable 打开http server
http 192.168.1.0 255.255.255.0 management 限定能通过http方式访问防火墙的机器
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdowncoldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围为10.1.1.30-200
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpddns 192.168.0.1 DNS 添加:可以是电信网通提供直接添加,或者自己的DNS服务器地址。
dhcpd lease 3600
dhcpdping_timeout 50
dhcpd domain suzhou.jy域名
dhcpd enable inside 打开内部网段自动分配
dhcpd enable management
Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4
access-group icmp_in in interface outside 这两句表示,
access-list icmp_in extended permit icmp any any允许PING包发送或接收
: end
本篇文章来源于电脑知识网(https://www.sodocs.net/doc/6211239791.html,) 原文出处:https://www.sodocs.net/doc/6211239791.html,/zt/fanghuoqiang/200
ASA防火墙配置SSH正确方法2008年09月22日星期一21:12ASA5500系列命令,我发现的软件版本7.0以
调试电脑必须与防火墙在通一个网段(有待观察)
//配置服务器端
ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside 行访问,outside也可以改为inside即表示内部通过SSH访问防火墙
ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd密码//passwd命令所指定的密码为远程访问密码,同样适用于telnet