GNS3 搭建本地 ASA 并使用 ASDM 管理
GNS3 搭建本地ASA 并使用ASDM 管理
实验环境:
本地ASA 的IP 地址127.0.0.1 (本地ASA 使用)
GNS3 0.7.3
Fiddler2
本地TOP 搭建:
1 、下载解压过的asa802-k8.bin 文件,实验中使用的解压后的kernel 是asa802-k8.bin.unpacked.vmlinuz ,启动文件initrd 使
用单模式ASA ,请下载asa802-k8-sing.gz ;使用多模式ASA 请下载asa802-k8-muti.gz 。两个initrd 文件中所加载的网卡为e100 和e1000 ,所用文件可以到本文附件下载,
打开GNS3 ,新建一个工程,命名为ASA 。之后选择“编辑”--> “首选项”--> “qemu ”对“General Setting ”做如图所示的配置:
之后配置ASA 选项卡,如图:
2 、拖入ASA ,分别新建ASA1 和ASA2,TOP 如下:
启动两个ASA 可以看到两个QEMU 窗口
由于是初次运行,点“console”登录后,看到内核初始化:
回到命令提示符后,请等大概 1 分钟左右( 为了防止出现其它问题,请按我说的做) ,等待FLASH 文
件的初始化,此时去看相应的工作目录下的FLASH 文件,会发现FLASH 文件的大小开始变化,大
概到24.9M 时,就OK 了,在FLASH 文件初始化的时候,你会发现硬盘灯开始狂闪了,^_^ 。
使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后,执行/mnt/disk0/lina_monitor
使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后,执行
/mnt/disk0/lina –m
PS: 再次运行ASA 的时候,将直接启动到ciscoasa> 的状态下,不用再执行上面的命令了可以看到6 块网卡都被ASA 识别了
此时如果执行show flash:, 将会是下面的结果:
因为是初次运行,虽然上面的步骤中格式化了FLASH 文件等等,但是在ASA 中还是没有加载FLASH
所以执行show flash: 后可用空间为0 。
停止所有的ASA ,然后重新启动ASA ,再执show flash:,FLASH 文件已经被加载了
为了保证使用命令wr 、copy run start 时不出现错误,重新启动ASA 后,在全局配置模式下执
行:
boot config disk0:/.private/startup-config
copy running-config disk0:/.private/startup-config
遇到错误提示不用理睬它就可以了。
3 、验证两个ASA 的连通性,做如下配置:
ciscoasa(config)# hostname ASA1
ASA1(config)# int e0/0
ASA1(config-if)# ip add 192.168.1.1 255.255.255.0
ASA1(config-if)# nameif out
ASA1(config-if)# nameif outs
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)# no sh
ASA1(config-if)# end
ASA1# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA1# ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/20/80 ms ciscoasa(config)# host ASA2
ASA2(config)# int e0/0
ASA2(config-if)# ip add 192.168.1.2 255.255.255.0
ASA2(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA2(config-if)# no sh
ASA2(config-if)# end
ASA2# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms 可以看到两个ASA 是可以PING 通的
4 、上传ASDM
首先在自己的电脑建立一个TFTP 服务器,然后把ASDM 的镜像文件放在TFTP 的根目录下:
然后在GNS3 中建立一个如下的拓扑:
将云的设置为桥接在物理网卡或者Loopback 口上,然后将ASA 、云和交换机连接在一起。
打开ASA,然后重新启动ASA。保证得到以下的show Flash:
然后开始配置ASA ,相关的配置如下:
ASA1>en
ASA#conf t
ASA(config)#int e0/0
ASA(config-if)#ip add 192.168.100.10 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#no shut
ASA(config-if)#do ping 192.168.100.168
PS :192.168.100.168 为我们的TFTP 服务器,必须保证ASA 可以和它通信,否则无法上传ASDM
ASA#copy tftp: flash:
接着输入TFTP 主机的地址
输入ASDM 的文件名
开始传输
上传完毕后,显示FLASH
下面我们开始配置ASA ,使ASDM 可用
使用ASDM 客户端连接,输入用户名和密码,出现如下错误:
这个错误是因为ASDM 客户端软件需要比对从ASA 发给HTTP Server 的硬件地址ID ,而GNS3 模拟的ASA 是没有硬件ID 的:
所以我们需要使用fiddler 这个软件对HTTPS 发送的流量进行代理:
1 、首先安装然后打开fiddler 软件,然后按照以下顺序操作:
Tools àfiddler options àhttps àcheck 然后选中“decrypt https traffic ”
2 、点击RULES àCustomize Rules 使用附件中的myrules 中的内容覆盖Customize 的内容然后保存
3 、从控制面板中选择Java ,在常规中的网络设置上选择使用代理服务器localhost 端口8888 ,选择高级,最后选中对所有协议使用同一个代理服务器。
然后打开fiddler ,再打开ASDM 客户端
选择Yes 享受ASDM 的快乐吧,兄弟们!
小弟拙作,请大家见谅!
在这里感谢撒加老大的文档的帮助!
本文来自CSDN博客,转载请标明出处:https://www.360docs.net/doc/d710306320.html,/duanzhili/archive/2011/01/22/6158612.aspx
本文来自CSDN博客,转载请标明出处:https://www.360docs.net/doc/d710306320.html,/duanzhili/archive/2011/01/22/6158612.aspx
华三交换机IOS升级详解
华三交换机IOS升级详解 换机的软件加载主要是指通过主机软件包进行应用程序文件的加载和BootRom升级。 S3100V2及E126B系列以太网交换机的主机软件包是后缀名为“.bin”的文件,包含了BootRom程序文件和应用程序文件。 应用程序文件的加载是指:将主机软件包下载到交换机的Flash中,并指定应用程序文件的属性(主程序文件、备用程序文件或无属性)。 BootRom的升级是指:通过主机软件包中的BootRom程序文件对交换机的BootRom进行升级。 完整的BootRom程序文件包含BootRom基本段和BootRom扩展段。 BootRom基本段是指完成系统启动的最小程序文件。 BootRom扩展段具有丰富的人机交互功能,提供可用的网口,可以实现升级应用程序和引导系统。 用户升级使用的BootRom程序文件(与和应用程序文件集成在扩展文件名为“.bin”的文件中)均为完整BootRom程序文件。 B.1 软件加载方式简介 交换机软件加载方式可以分为:通过BootRom界面加载和通过命令行接口加载两种方式。 表6 交换机软件加载方式一览表 具体加载方式说明 BootRom界面加载方式通过Console口利用XModem完成加载具体请参见通过Console 口利用 XModem完成加 载 通过以太网口利用TFTP完成加载具体请参见通过以太网 口利用TFTP完成加载通过以太网口利用FTP完成加载具体请参见通过以太网 口利用FTP完成加载 命令行接口加载方式通过FTP实现软件加载具体请参见通过FTP实 现软件加载 通过TFTP实现软件加载具体请参见通过TFTP实 现软件加载
教大家如何使用模拟器模拟防火墙ASA 5520
如何使用vmware和GNS3模拟ASA 第一部分:首先手头的文件: 1.GNS 3 2.ASA模拟器 3.Vmware 4. 5.ASDM软件 6. 7. 8.rules 文件 接口分布规则: R0 F0/0 172.16.0.100 R1 F0/0 172.16.1.100 R2 F0/0 172.16.2.100 ASA E0/0 172.16.0.200 ASA E0/1 172.16.1.200 ASA E0/2 172.16.2.200 Loopback0 172.16.0.2 Loopback1 172.16.1.2 Loopback2 172.16.2.2 第二部分,具体实施,分成几个步骤来做: 第一:在装有windows的主机上建立3个环回口,并且为每个接口配置地址。
第二:运行安装有asa软件的linux系统,此系统安装在vmware上,其实就是启动vmware。 第三:实现asa的E0/0----Loopback 0, E0/1----Loopback 1, E0/2----Loopback 2之间的桥接 3.1.首先实现vmware中vmnet和loopback口的桥接 Vmnet 0-----Loopback 0,Vmnet 1-----Loopback 1,Vmnet 2-----Loopback 2, 3.2 再实现vmware中vmnet和E0/0口的桥接 Vmnet 0----E0/0,Vmnet 1----E0/1,Vmnet 2----E0/2 第四,实现本地环回口和路由器的桥接,即: Loopback 0-----R0 F0/0,Loopback 1-----R1 F0/0,Loopback 2-----R2 F0/0 4.1,首先运行GNS 3,取出三个路由分别和本地接口互联
GNS3ASA直连接口能ping
GNS3 搭建本地ASA 并使用ASDM 管理 实验环境: 本地ASA 的IP 地址127.0.0.1 (本地ASA 使用) GNS3 0.7.3 Fiddler2 本地TOP 搭建: 1 、下载解压过的asa802-k8.bin 文件,实验中使用的解压后的kernel 是asa802-k8.bin.unpacked.vmlinuz ,启动文件initrd 使 用单模式ASA ,请下载asa802-k8-sing.gz ;使用多模式ASA 请下载asa802-k8-muti.gz 。两个initrd 文件中所加载的网卡为e100 和e1000 ,所用文件可以到本文附件下载, 打开GNS3 ,新建一个工程,命名为ASA 。之后选择“编辑”--> “首选项”--> “qemu ”对“General Setting ”做如图所示的配置:
之后配置ASA 选项卡: 2 、拖入ASA ,分别新建ASA1 和ASA2,TOP 如下:
启动两个ASA 可以看到两个QEMU 窗口 由于是初次运行,点“console”登录后,看到内核初始化: 回到命令提示符后,请等大概 1 分钟左右( 为了防止出现其它问题,请按我说的做) ,等待FLASH 文件的初始化,此时去看相应的工作目录下的FLASH 文件,会发现FLASH 文件的大小开始变化,大概到24.9M 时,就OK 了,在FLASH 文件初始化的时候,你会发现硬盘灯开始狂闪了,^_^ 。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后,执行/mnt/disk0/lina_monitor 使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后,执行 /mnt/disk0/lina –m PS: 再次运行ASA 的时候,将直接启动到ciscoasa> 的状态下,不用再执行上面的命令了
思科交换机ios升级方法
IOS 升级 在介绍CISCO路由器IOS升级方法前,有必要对Cisco路由器的存储器的相关知识作以简单介绍。路由器与计算机相似,它也有内存和操作系统。在Cisco 路由器中,其操作系统叫做互连网操作系统(Internetwork Operating System),常简称为IOS。路由器的存储器主要有: ROM:只读存储器包含路由器正在使用的IOS的一份副本; RAM:IOS将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的IOS数据结构; FLASH (闪存):用来存储IOS软件映像文件,闪存是可以擦除内存,它能够用IOS的新版本覆写,IOS升级主要是闪存中的IOS映像文件进行更换。NVRAM:非易失性随机访问存储器,用来存储系统的配置文件。 IOS升级方法一 在对能够正常启动的CISCO路由器的IOS进行升级时,比较简单。具体步骤如下: 1、寻找一种TFTP服务器软件(有CISCO公司的TFTPServer或3COM公司的 3Cserver等,在升级较大IOS映象文件时,建议用3Cserver),安装在一台计算机上,将要升级的IOS映象文件拷贝到相关的目录中(例:D:\),并运行TFTP服务器软件,通过菜单设置Root目录为拷贝IOS映象文件所在目录(如D:\)。假设该计算机的IP地址为10.32.10.1; 2、连接路由器的console口与PC机的COM1,使用PC的超级终端软件访问路由器,将路由器的地址设为10.32.10.32(与计算机的IP地址同网段即可)。建议在进行IOS升级前将原有IOS文件备份下来,防止待升级的IOS文件存在问题不可用; QUOTE: Router# dir flash: (查看目前IOS映象文件名,也可用Router#Show version) Directory of flash:/ 1 -rw- 599829 2 C2600-I-MZ.122-11.BIN 8388608 bytes total (2390252 bytes free) Router#copy flash tftp (备份IOS文件) Source filename []?c2600-i-mz.122-11.bin
ASA防火墙的基本配置
安全级别:0-100 从高安全级别到低安全级别的流量放行的 从低安全到高安全级别流量禁止的 ASA防火墙的特性是基于TCP和UDP链路状态的,会话列表,记录出去的TCP或者UDP 流量,这些流量返回的时候,防火墙是放行的。 ASA防火墙的基本配置 ! interface Ethernet0/0 nameif inside security-level 99 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/1 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 1 ip address 200.1.1.2 255.255.255.0 ciscoasa# show nameif Interface Name Security Ethernet0/0 inside 99 Ethernet0/1 dmz 50 Ethernet0/2 outside 1
2、路由器上配置 配置接口地址 路由--默认、静态 配置VTY 远程登录 R3: interface FastEthernet0/0 ip address 200.1.1.1 255.255.255.0 no shutdown 配置去内网络的路由 ip route 192.168.1.0 255.255.255.0 200.1.1.2配置去DMZ区域的路由 ip route 172.161.0 255.255.255.0 200.1.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 172.16.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666 R3(config-line)#login R2: interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 no shutdown 配置默认路由 IP route 0.0.0.0 0.0.0.0 192.168.1.2 配置远程登录VTY R3(config)#line vty 0 2 R3(config-line)#password 666
GNS3模拟的硬件列表
Hardware emulated by GNS3 Cisco 1700 Series 1700s have one or more interfaces on the motherboard, 2 subslots for WICs (excepting on 1710s), an no NM slots. 1710 ? 1 FastEthernet and 1 Ethernet fixed ports (CISCO1710-MB-1FE-1E). ?WIC slots: 0 ?Note that interfaces do not use a slot designation (e.g. “f0”) 1720, 1721 and 1750 ? 1 FastEthernet fixed port (C1700-MB-1ETH). ?WIC slots: 2 (maximum of 2 Ethernet ports or 4 serial ports). ?Note that interfaces do not use a slot designation (e.g. “f0”) 1751 and 1760 ? 1 FastEthernet fixed port (C1700-MB-1ETH). ?WIC slots: 2 (maximum of 2 Ethernet ports or 4 serial ports). WIC cards ?WIC-1T (1 serial port) ?WIC-2T (2 serial ports) ?WIC-1ENET (1 Ethernet ports) Cisco 2600 Series 2600s have one or more interfaces on the motherboard, 2 subslots for WICs and 1 Network Module (NM) slot. 2610 ? 1 Ethernet fixed port (CISCO2600-MB-1E). ?NM slots: 1 (maximum of 4 Ethernet ports or 16 FastEthernet ports).
Cisco ASA5505防火墙详细配置教程及实际配置案例
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
GNS3模拟运行ASA配置教程+Qemu模拟器
GNS3模拟运行ASA配置教程+Qemu模拟器 在GNS3中运行ASA的方法教程;我的QQ:236816893 有什么问题大家共同探讨: 第一步:安装GNS3 0.7 RC1 这个就不需要我多说了吧(呵呵)我选择安装在“D:\Program Files\GNS3” GNS3的配置如下: General setting:如下 图一 工程目录:选择刚才的安装目录D:\Program Files\GNS3 Image directory:这个我是选择的D:\Program Files\GNS3\IOS。IOS这个文件夹是我自己建立的,方便我查找,里面放了接下来需要的几个核心文件。
GUI setting:保持不变 Dynamips: 图二 运行路径: 选择D:\Program Files\GNS3\Dynamips\dynamips-wxp.exe 最后选择“测试”出现dynamips successfully started 才算成功
下面进行最关键的qemu设置 图三 Path: 选择D:\Program Files\GNS3\qemuwrapper.exe 工作目录: D:\Program Files\GNS3 选择这个目录的目的是等下要在这个目录的ASA1子目录下创建一个FLASH 文件,如果没有这个FLASH文件会报错!! Path to qemu(not for pix) 这个选择我开始解压到GNS3安装目录下的QEMU.EXE D:\Program Files\GNS3\qemu\qemu.exe
图四 核心配置就在这了,呵呵 Qemu options: 大家有没有注意到:-vnc :1 这个参数是我研究了2天,实践了几百遍得出的结果,不要小看这个小小的参数,如果没有这个参数就telnet不上啊 都是-nographic这个参数惹的祸 initrd D:\Program Files\GNS3\IOS\asa802-k8.bin.initrd Kernel D:\Program Files\GNS3\IOS\vmlinuz Kernel cmd line auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32 第二步:在“D:\Program Files\GNS3”这个目录下,新建一个QEMU目录,然后将
最完整版路由器交换机密码恢复、IOS与配置文件更新、IOS灾难恢复(最完整)
目录 一.基本知识点 (2) 1.路由器硬件 (2) 2.路由器外部接口 (2) 3.检查路由器状态信息 (2) 4.路由器启动顺序 (2) 5.Cisco配置寄存器描述 (3) 二.路由交换密码恢复 (3) 6.实验一 Cisco 2600/3600密码恢复实验 (3) 7.实验一 Cisco 2500密码恢复实验 (4) 8.实验二 Catalyst 2950/3550/3750的密码恢复实验 (4) 三.用TFTP下载/更新路由器,交换机 IOS和配置文件 (5) 9.实验三用TFTP下载Router 2600 IOS. 5 10.实验四用TFTP更新Router 2600 IOS. 6 11.实验五从TFTP下载/上传Router 2600配置文件 (6) 12.实验六用TFTP下载Switch 2950 IOS. 6 13.实验七用TFTP更新Switch 2950 IOS. 7 14.实验八从TFTP下载/上传Switch 2950配置文件 (7) 四.路由器,交换机灾难恢复 (7) 15.实验九 Router 2600 常用灾难恢复方式 (8) 15.1.方式一 tftpdnld方式恢复Router 2600 IOS. 8 15.2.方式二 xmodem 方式恢复Router 2600/3600 IOS. 8 16.xmodem 方式恢复Switch 2950. 10 一. 基本知识点 ---------------------------------------------------------------------------------------------------------------------- 1. 路由器硬件 RAM (随机访问存储器) 存放IOS Copy映像,配置文件(running-config),路由表,以及数据缓存内容。 NVRAM (非易失性随即存储器) 存放启动配置文件(startup-config),像CMOS一样,关闭电源用电池来维护。如果路由器掉电,配置文件不会丢失。 Flash Memory 闪存的结构允许你保存多个Cisco IOS软件的拷贝。闪存在掉电是同样会保持内容。 ROM(只读存储器) 存放路由器基本功能的一些微代码,如:POST (加电自检) 代码,bootstrap(自主引导程序) – ROM软件只能通过更换芯片升级。 Interfaces 接口指的是包进出的路由器的网络连接。 Auxiliary Ports 异步端口;Cisco IOS软件允许将Auxiliary Port作为异步连接的网络接口使用。一般可以通过Modem 和远端计算机相连调试路由器。 2. 路由器外部接口 Console Port——初始化配置时,你需要通过它使用终端配置路由器 Auxiliary Port——也可以通过Auxiliary Port配置路由器 Virtual Terminals——可以通过telnet使用VTY配置路由器 TFTP Server——可以通过TFTP服务器下载配置信息。TFTP Server可以运行在Unix工作站或者PC 工作站 Network Management Station——你可以通过一个运行网管软件,如HP OpenView或者CiscoWorks,的工作站来管理路由器的配置 3. 检查路由器状态信息 show version——显示系统的硬件配置,软件版本,配置文件的源和名字,以及启动镜像。 show processes——显示当前活动进程。 show protocols——显示已经配置的协议。 show memory——显示路由器的内存信息 show ip route——显示路由表 show flash——显示闪存设备的信息 show running-config——显示当前活动配置 show startup-config——显示备份配置文件 show interfaces——显示已经配置的界面属性 4. 路由器启动顺序
Cisco ASA 5500防火墙个人基本配置手册
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
gns3下ASA配置运行初步
GNS3 搭建本地ASA并使用ASDM管理 实验环境: 本地ASA 的IP 地址127.0.0.1(本地ASA 使用) GNS3 0.7.3 Fiddler2 本地TOP 搭建: 1、下载解压过的asa802-k8.bin 文件,实验中使用的解压后的kernel 是 asa802-k8.bin.unpacked.vmlinuz,启动文件initrd 使 用单模式ASA,请下载asa802-k8-sing.gz;使用多模式ASA 请下载 asa802-k8-muti.gz。 两个initrd 文件中所加载的网卡为e100 和e1000,所用文件可以到本文附件下载, 打开GNS3,新建一个工程,命名为ASA。之后选择“编辑”-->“首选项”-->“qemu” 对“General Setting”做如图所示的配置:
之后配置ASA 选项卡,如图:
2、拖入ASA,分别新建ASA1 和ASA2,TOP 如下:
启动两个ASA 可以看到两个QEMU 窗口 由于是初次运行,点“console”登录后,看到内核初始化:
回到命令提示符后,请等大概1 分钟左右(为了防止出现其它问题,请按我说的做),等待FLASH 文 件的初始化,此时去看相应的工作目录下的FLASH 文件,会发现FLASH 文件的大小开始变化,大 概到24.9M 时,就OK 了,在FLASH 文件初始化的时候,你会发现硬盘灯开始狂闪了,^_^。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后,执行 /mnt/disk0/lina_monitor 使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后,执行 /mnt/disk0/lina –m
思科交换机重刷IOS版本以及败处理方法
1.电脑连接交换机console口。 2.准备ptf传输ios文件到交换机。 (1)网线连接电脑和交换机任意端口,这里连接交换机f0/3端口。 (2)在电脑【本地链接】配置IP地址为10.1.1.1,255.255.255.0。这里可以随意配置,只要保证和交换机端口的IP地址在同一网段即可。 (3)配置交换机端口f0/3IP地址为10.1.1.2,255.255.255.0。 ●Switch# configure terminal 进入全局配置模式 ●Switch(config)#do show ip interface brief 查看端口状态。我们所用的f0/3端 口在Vlan1(因为原来设置过IP地址,所有显示IP地址为10.1.1.2,如未设 置,可能是其他的IP地址)
●Switch(config)#interface vlan 1 ●Switch(config-if)ip address 10.1.1.2 255.255.255.0 设置IP (4)在交换机上ping 电脑配置的IP地址,在电脑上PING交换机上的IP地址,如果能够PING通,则可以传输数据。 (5)Show flash 查看现在交换机上的文件。 (6)Copy flash tftp,然后根据命令提示,备份原来机器上的IOS到FTP服务器上 (7)通过show flash发现flash中剩余空间足够安装新的IOS文件,则不需要删除文件。但是这演示怎么删除文件 switch#delete flash:c3560-ipbasek9-mz.122-55.SE9.bin 将原来的IOS文件删除,因为前面已经备份过,所以可以放心删除,实在不行还可以恢复。删除之后show flash 发现,原来的IOS文件已经不在了 (8)传输IOS文件到交换机copytftp flash,根据命令提示,将文件传到flash
思科ASA防火墙ASDM安装和配置
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.360docs.net/doc/d710306320.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
思科交换机IOS备份与升级
思科交换机IOS备份与升级 一、预备知识 交换机与计算机有相似点是,它也有内存、操作系统、配置和用户界面,Cisco交换机中,操作系统叫做互连网操作系统(Internet Operating System)或IOS.下面介绍交换机的存储器。 ROM(只读存储器):包含路由器正在使用的IOS的一份副本; RAM(随机访问存储器):IOS将随机访问存储器分成共享和主存,主要用来存储运行中的交换机配置; FLASH (闪存):用来存储IOS软件映像文件,闪存是可以擦除内存,它能够用IOS 的新版本覆写。 NVRAM(非易失性随机访问存储器):用来存储系统的配置文件。 交换机的IOS升级主要是闪存中的IOS映像文件进行更换。 二、前期准备 1、准备进行IOS升级的Cisco2950交换机一台; 2、电脑一台(台式机、笔记本均可),用于对交换机进行配置操作和作为TFTP服务器; 3、直连网线一根(即两段线序一致),用于向交换机传输IOS文件; 4、交换机配置线一根; 5、TFTP服务器软件一套,本次使用的是“Cisco TFTP Server”; 6、IOS升级文件一份。 三、开始升级 1、用配置线连接交换机的Console口与电脑的COM1口(或USB口,依据配置线不同而定),网线连接交换机F0/1口与电脑的以太网口。电脑IP设为192.168.0.1. 2、将电脑作为TFTP服务器,打开TFTP服务器软件,并将其根目录设为IOS文件所在目录。 3、为使交换机能与TFTP服务器相互通信,我们需要为交换机设置IP地址。使用Windows自带的超级终端软件,将交换机F0/1的地址设为与电脑的IP地址同网段。具体步骤如下(进入全局配置模式): switch(config)#vtp mode server // 配置为服务允许创建配置vlan Switch
GNS3中ASA防火墙的使用
GNS3中ASA防火墙的使用 版本 作者 日期 备注 V 1.0 紫川凌 2012-08-10 初稿 V 2.0 紫川凌 2012-08-10 解决因ASA关联配置问题导致端口不能配置 问题 V 3.0 紫川凌 2012-08-10 解决因ASA与路由相连不能ping通,不能运 行路由协议问题
1. 前言1.1 前言 在使用GNS3时,使用路由交换相信大家都使用的如鱼得水了,使用GNS3模拟ASA 防火墙呢?我自己在之前很长一段时间使用的是Vmware + GNS3来实现模拟CISCO ASA 防护墙的。Vmware 模拟ASA首先使用起来不是太方便,需要桥接网卡;第二个是比较耗系统资源。所以在这边给大家介绍一下如何在GNS3中直接使用ASA防火墙。
2. 准备工作2.1 准备工作 1.安装环境: Windows 7 旗舰版 32位 2.准备文件: 1)GNS3 0.7.4:GNS3-0.7.4-win32-all-in-one.exe 2)ASA IOS:asa802-k8.bin 3)GNS3 Qemu:qemu-0.13.0.patched.win32.zip 4)UNPACK:Unpack-0.1_win.zip 5)启动文件initrd:启动文件initrd PS:以上下载链接失效请发送邮件到Glingych@https://www.360docs.net/doc/d710306320.html,提醒。
3. 安装配置GNS3 3.1 安装 GNS3的安装此处省略。 3.2 配置 3.2.1 基本配置 GNS3基本配置此处省略。 3.2.2 关联ASA 3.2.2.1 Windows下预配 1.将下载好的文件UNPACK解压到桌面: 2.解压后得到:
ASA防火墙基本配置
一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100,级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意:security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令: #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。 较低安全接口访问较高安全接口:除非有conduit或acl进行明确的许可,否则丢弃所有的数据包。
GNS3 ASA设置
GNS3 ASA设置 2011-07-14 18:45 【模拟环境】 我所使用的GNS3版本为0.7.4,如果低于这个版本,有些版本会缺少些选项无法支持。GNS3官方下载地址:https://www.360docs.net/doc/d710306320.html,/download 【ASA】 下载地址:https://www.360docs.net/doc/d710306320.html,/data/219643 ASA有2种模式的编译文件,分别为单模式和多模式,可选择使用。我使用的是单模式,我试用过多模式,不太好用。 这里不是使用Unpack将IOS中提取出编译文件(initrd文件)和内核(vmlinuz 文件)来使用,网上有使用这种方法的,但是我尝试不成功。于是我直接使用已经编译好的.gz文件,虽然需要初始化等一些操作,但可以使用CRT的按钮功能来弥补。如果你们还有更好的方法,可以共享。 一、配置 我将它存放到GNS3文件夹下,路径分别为: G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gz G:\GNS3\Fw\ASA\Run\asa802-k8-muti.gz G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz 3、打开GNS3,编辑→首选项→Qemu→ASA; 添加单模式:
Identifier name:asa802-k8-sing(自己填名称,但不能是中文) RAM:256(使用默认的256) Number of NICs:6(网卡数量,默认是6) NIC model:e1000(网卡类型,默认是e1000) Qemu Options:-hdachs 980,16,32 -vnc :1(手动输入) Initrd:G:\GNS3\Fw\ASA\Run\asa802-k8-sing.gz(编译文件路径) Kernel:G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz(内核文件路径) Kernel cmd line:auto console=ttyS0,9600n8 nousb ide1=noprobe bigphysarea=16384 hda=980,16,32(关键,否则无法telnet) 输入完后,点击保存,下面列表中会出现。 添加多模式: Identifier name:asa802-k8-muti(自己填名称,但不能是中文)RAM:256(使用默认的256) Number of NICs:6(网卡数量,默认是6) NIC model:e1000(网卡类型,默认是e1000) Qemu Options:-hdachs 980,16,32 -vnc :1 (手动输入) Initrd:G:\GNS3\Fw\ASA\Run\asa802-k8-muti.gz (编译文件路径)Kernel:G:\GNS3\Fw\ASA\Run\asa802-k8.vmlinuz(内核文件路径)Kernel cmd line:auto console=ttyS0,9600n8 nousb ide1=noprobe bigphysarea=16384 hda=980,16,32(关键,否则无法telnet)