网络运维 ASA基本配置 实验报告
姓名: radsy 班级: NTD1711 日期:2018年1月30日
实验任务:
实验拓补图:
实验需求:DMZ 发布Web 服务器,Client3 可以访问Server2
使用命令show conn detail 查看Conn表 表
分别查看ASA 和AR的 的 路由表
配置ACL 禁止Client2 访问Server3
思
路
及
实
验
步
骤
一、配置设备IP及端口IP。
路由IP:
interface GigabitEthernet0/0/0
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.10.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 20.20.1.254 255.255.255.0
#
防火墙IP:
interface GigabitEthernet0
shutdown
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
shutdown
nameif DMZ
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface GigabitEthernet2
shutdown
nameif outside
security-level 0
ip address 192.168.50.254 255.255.255.0
!
路由与交换机之间通信需要使用路由功能,我使用静态路由
路由器:ip route-static 10.10.1.0 255.255.255.0 192.168.10.254
ip route-static 20.20.1.0 255.255.255.0 192.168.10.254
防火墙:route inside 0.0.0.0 0.0.0.0 192.168.10.1 1
验证内网联通状态:
内网可以PING通。
二、配置DNZ区域和外部区域验证
显示链接完成
三、验证防火墙作用
首先内网访问外网服务器:
访问成功
外网访问内网:
显示失败。
防火墙作用成功应用
验证DMZ区域的作用
首先用内网链接服务器再用外网访问服务器
内网获取成功
外网获取失败
没有配置相关协议。
三、配置DMZ区域协议
抓取所有tcp 主机 访问192.168.30.66 端口号为80的条目全部通过
然后将其应用在outside端口上
结果验证:
访问成功。
四、禁止Client2 访问Server3
client2的ip地址为192.168.30.1
server3的IP地址为192.168.50.66
想要做到禁止访问server3的HTTP服务我有以下几个数据可以抓取并应用:
1、http服务端口号
2、client2的ip和server3的IP
下面进行配置:
我抓取了tcp链接的源192.168.30.1访问192.168.50.66 的所有端口号为80的数据
然后应用到了DMZ端口。这个配置主要针对内部端口做的配置,所以数据包不会发向外网
进行验证:
实验成功。
结果验证:
验证配置成功。
流量抓取功能是个非常强大的工具,它可以抓取各种流量的协议、ip;并且对他们进行约束,让它们按照我们的想法进行运作。
这是一个非常值得学习的功能。
问题及分析:
1、模拟器不稳定。
2、实验很简单、但是需要有清晰的思路。
3、防火墙acl应用简单,想要做到一个目的可以有很多种方法,比如上面说的,禁止访问server3的HTTP服务:我可以抓取服务器的IP,也可以抓取客户端的IP、也可以抓取端口号、还可以抓取协议TCP、可以应用到入端口、也可以应用到出端口都可以达到自己想要的目的。
转载于:https://blog.51cto.com/13556637/2067105