服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ASA5505新手。 设置Outside / Inside /和DMZ作为访客networking
Intereting Posts
Linux中的ACLinheritance:为多个用户创build700个权限的子目录 导出Bugzilla并重新导入/移动到新的服务器? PHP脚本无法在OpenBSD Apache上发送邮件 让服务器在路由器后面 httpd每xx秒处理cpu达到100%+ 是否有可能“看到”一个传入的ping? Adobe ColdFusion Rail OpenBD Apache Tomcat多站点 帐户locking 如何将客户端系统添加到服务器 Windows Server 2008 TS CAL许可 KVM磁盘格式:可移植性 Ubuntu 16.04,Keepalived VMAC DNS恢复到注册商 我应该坚持ELB吗? 每秒200万个数据包的DDoS攻击有多严重? 组策略在域级别的GPO中performance出色

ASA5505新手。 设置Outside / Inside /和DMZ作为访客networking

我需要一些帮助来为我们的ASA5505开发configuration。 我是MCSA / MCITPAS,但是我没有很多实际的思科体验。

这里是我需要帮助的,我们目前有一个PIX作为我们的边界网关,而且它已经过时了,只有50个用户的许可证,这意味着我一直在不断地清理本地主机,因为人们抱怨。 我发现最后一个IT人员买了一对ASA5505,他们一直坐在柜子的后面。

到目前为止,我已经将configuration从PIX复制到了ASA,但是我认为我会进一步去除另一个仅用于访客networking的旧Cisco路由器。 我知道ASA可以完成这两项工作。

所以我要粘贴一个我写下来的实际IP地址,以保护无辜者。

外网:1.2.3.10 255.255.255.248(我们有一个/ 29)
内网:10.10.36.0 255.255.252.0
DMZnetworking:192.168.15.0 255.255.255.0

外网在e0 / 0
DMZnetworking上的e0 / 1
内网在e0 / 2-7

DMZnetworking已启用DHCPD。
DMZ DHCPD池是192.168.15.50-192.168.15.250
DMZnetworking需要能够在10.10.37.11和10.10.37.12的Inside Network上看到DNS
DMZnetworking需要能够在10.10.37.15访问内部networking上的networking邮件
DMZnetworking需要能够在10.10.37.17内网访问商业网站
DMZnetworking需要能够访问外部networking(访问互联网)。

networking内部没有DHCPD。 (dhcp由域控制器处理)
Inside Network需要能够在DMZnetworking上看到任何东西。
内部networking需要能够访问外部networking(访问互联网)。

已经有一些访问列表了,已经有一些静态的NAT映射了。

将外部IP从我们的ISP映射到我们的内部服务器IP 

static (inside,outside) 1.2.3.11 10.10.37.15 netmask 255.255.255.255 static (inside,outside) 1.2.3.12 10.10.37.17 netmask 255.255.255.255 static (inside,outside) 1.2.3.13 10.10.37.20 netmask 255.255.255.255

允许从外部访问我们的Web服务器/邮件服务器/ VPN。 

  access-list 108 permit tcp any host 1.2.3.11 eq https access-list 108 permit tcp any host 1.2.3.11 eq smtp access-list 108 permit tcp any host 1.2.3.11 eq 993 access-list 108 permit tcp any host 1.2.3.11 eq 465 access-list 108 permit tcp any host 1.2.3.12 eq www access-list 108 permit tcp any host 1.2.3.12 eq https access-list 108 permit tcp any host 1.2.3.13 eq pptp

到目前为止,这里是所有NAT和路由的东西。 

  global (outside) 1 interface global (outside) 2 1.2.3.11-1.2.3.14 netmask 255.255.255.248 nat (inside) 1 0.0.0.0 0.0.0.0 nat (dmz) 1 0.0.0.0 0.0.0.0 route outside 0.0.0.0 0.0.0.0 1.2.3.9 1

你没有提到你正在运行的是什么版本,而是根据你的NAT命令判断它是8.2还是以下。 我有一些示例configuration应该得到DHCP在DMZ上工作,并从DMZ访问您的局域网DNS,内部网站和networking访问互联网。 如果需要,您可以使用它作为添加更多的指南。 您不需要更改路由,因为这些都是直接连接的networking。

这应该是所有您需要的DHCPconfiguration 

 dhcpd dns 10.10.37.11 10.10.37.12 dhcpd domain example.com dhcpd address 192.168.15.50-192.168.15.250 DMZ dhcpd enable DMZ

访问列表允许stream量到达DMZ接口。 包括你的DNSstream量到局域网 

 access-list DMZ-Access_in extended permit UDP any host 192.168.15.50 eq 53 access-list DMZ-Access_in extended permit UDP any host 192.168.15.250 eq 53 access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 443 access-list DMZ-Access_in extended permit TCP any host 10.10.37.15 eq 80 access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 443 access-list DMZ-Access_in extended permit TCP any host 10.10.37.17 eq 80 access-list DMZ-Access_in extended permit TCP any any eq 80 access-list DMZ-Access_in extended permit TCP any any eq 443

将访问列表应用到DMZ界面。 

 access-group DMZ-Access_in in interface DMZ

另外请检查您是否拥有安全加许可证,因为在5505上DMZ不受限制 

 Show version

编辑:

要回答你的问题:使用基础许可证,你将无法做到你想要的。 受限制的dmz意味着你必须select一个dmz不能与之通话的vlan。 它可以是Lan或者外部的。

是的,外部的内部和dmz会算作三个vlan,5505像一个三层交换机,vlan被应用到交换机端口。 所有其他asa的使用第3层路由端口,您可以将它们分成子接口和连接到他们的中继。

秒加花费了一些,但值得从一个像素移动到ASA。 asa更好,并有一个很好的gui,可以让你轻松地进行修改。