¶ 拓扑:
¶ 实验需求:
¶ 1. 按照拓扑图配置VLAN连接。
注意:ASA防火墙的 Gi0/1口需要起子接口!
提示:ASA防火墙起完子接口一定要对物理口 no shutdown;交换机 E0/1接口需要先改变端口封装(Switch(config-if)#switchport trunk encapsulation dot1q)才能起 Trunk,还可以用命令 switchport trunk allowed vlan (VLAN ID) 来限制 Trunk传输 VLAN Tag标记的流量。
¶ 设备配置:
ASA
!
interface GigabitEthernet0/1
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1.3
vlan 3
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
!
interface GigabitEthernet0/1.4
vlan 4
nameif MDZ
security-level 50
ip address 192.168.1.10 255.255.255.0
!
SW
interface Ethernet0/1
switchport trunk allowed vlan 1,3,4
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast trunk
¶ 测试现象:
¶ 2. Inside路由器起环回口 loopback0,IP:1.1.1.1/32,ASA和 Inside路由器之间做静态路由(精确匹配),使得 ASA 可以 ping通 1.1.1.1。
提示:静态路由精确匹配举例:ip route 192.168.1.1 255.255.255.255 10.1.1.10
¶ 设备配置:
ASAFW(config)# route inside 1.1.1.1 255.255.255.255 10.1.1.1
Inside(config)#int lo 0
Inside(config-if)#ip address 1.1.1.1 255.255.255.255
¶ 测试现象:
¶ 3. DMZ路由器起环回口 loopback0,IP:2.2.2.2/32,ASA和 DMZ路由器之间起 OSPF动态路由协议(OSPF1 AREA0 通告精确地址),使得 ASA 可以 ping通 2.2.2.2。
提示:OSPF中通告精确地址举例(路由器):network 192.168.1.1 0.0.0.0 area 0
¶ 设备配置:
ASAFW(config)# router ospf 1
ASAFW(config-router)# network 192.168.1.0 255.255.255.0 area 0
DMZ(config)#int lo 0
DMZ(config-if)#ip address 2.2.2.2 255.255.255.255
DMZ(config-if)#exit
DMZ(config)#router ospf 1
DMZ(config-router)#network 192.168.1.0 0.0.0.255 area 0
DMZ(config-router)#network 2.2.2.2 0.0.0.0 area 0
¶ 测试现象:
¶ 4. Outside路由器起环回口 loopback0,IP:3.3.3.3/32,ASA和 Outside路由器之间做默认路由,使得 ASA 可以 ping通 3.3.3.3。
¶ 设备配置:
ASAFW(config)# route Outside 0.0.0.0 0.0.0.0 202.100.1.1
¶ 测试现象:
¶ 5. Inside路由器分别 Telnet DMZ路由和 Outside路由;DMZ路由器 Telnet Outside路由器(路由方式为静态路由精确匹配,Outside路由器有默认路由可不用配置)。
¶ 设备配置:
DMZ、Oustside设备配置
username admin privilege 15 password 0 cisco
line vty 0 4
login local
transport input all
测试现象:
¶ 6. 配置并登录 ASDM(Win7上 IP地址已经配好,不用再配置)。
¶ 设备配置
ASA
username admin password cisco privilege 15
interface Management0/0
management-only
nameif MGMT
security-level 100
ip address 10.10.10.10 255.255.255.0
no shutdown
http server enable
http 10.10.10.0 255.255.255.0 MGMT
asdm image boot:/asdm-77170.bin
¶ 测试现象:
