¶ 拓扑
¶ 1. 按照拓扑图配置 NTP,Server端为 Outside路由器,Client端为 ASA,两个设备的 NTP传输使用MD5做校验。(安全 V4 LAB考点)
提示:Outside路由器作为 Server端要配置好正确的时间和时区,ASA防火墙记得指定对端的 key ID,同步过程会稍慢,大约 10分钟,可以先做后面的需求。
¶ 设备配置:
ASA
Outside
ntp authentication-key 1 md5 060506324F41 7
ntp authenticate
ntp trusted-key 1
ntp master
¶ 测试现象:
¶ 2.使用 ASDM查看 ASA上关于 Inbound/Outbound的 Debugging日志(可用 Telnet制造流量)。
¶ 设备配置:
logging enable
logging asdm debugging
¶ 测试现象:
¶ 3.创建名为 Telnet-List的 Event-List,并针对 ID为 106001和 302013的流量日志发送到日志服务器(192.168.1.100),调整 ID 为 302013 的时间 Level 为 Warnings,并查看 ASA中下发的配置命令。
¶ 设备配置:
logging list Telnet-List message 106001
logging list Telnet-List message 302013
logging trap Telnet-List
logging host DMZ 192.168.1.100 format emblem
logging message 302013 level Warnings
¶ 测试现象:
¶ 4.使用 packet-tracer命令测试 DMZ to Inside的 ICMP流量和 Inside to DMZ的 Telnet流量。(安全 V4 LAB考点)
¶ 设备配置:
packet-tracer input DMZ icmp 192.168.1.241 0 3 10.1.1.10 xml
packet-tracer input Inside tcp 10.1.1.10 8888 192.168.1.241 23 xml
¶ 测试现象:
¶ 5.在ASDM中使用 Capture Wizard抓取 DMZ to Outside的 Telnet流量。
¶ 设备配置:
! DMZ
! Apply ingress capture on the DMZ interface.
capture asdm\_cap\_ingress match tcp 192.168.1.1 255.255.255.255 202.100.1.1 255.255.255.255 eq telnet
capture asdm\_cap\_ingress packet-length 1522 buffer 524288
capture asdm\_cap\_ingress interface DMZ
! Inside
! Apply egress capture on the Inside interface.
capture asdm\_cap\_egress match tcp 192.168.1.1 255.255.255.255 202.100.1.1 255.255.255.255 eq telnet
capture asdm\_cap\_egress packet-length 1522 buffer 524288
capture asdm\_cap\_egress interface Inside
¶ 测试现象:
¶ 6.配置 SSH,使 Outside路由器能够网管 ASA。
提示:需要看到如下输出
Outside#ssh -l admin -v 2 202.100.1.10
Password:
Type help or '?' for a list of available commands.
ASA> en
¶ 设备配置:
ASA
ssh 202.100.1.0 255.255.255.0 Outside
¶ 测试现象:
¶ 7.配置 AAA认证(Radius),使 Inside路由器能够通过 AAA认证(username:acsuser;password:Cisc0123),Telnet网管 ASA。(安全 V4 LAB考点)
提示:需要看到如下输出
Inside#telnet 10.1.1.10
Trying 10.1.1.10 ... Open
User Access Verification
Username: acsuser
Password: \*\*\*\*\*\*\*\*
Type help or '?' for a list of available commands.
ASA>
¶ 设备配置:
##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##
ssh 0 0 Inside
aaa-server 3A protocol tacacs+
aaa-server 3A (DMZ) host 192.168.1.241
key cisco
aaa authentication ssh console 3A LOCAL
¶ 测试现象:
