ASA5505故障的解决方案

Cisco ASA 5500 系列防火墙产品介绍Cisco®ASA 5500 系列自适应安全设备是思科专门设计的解决方案，将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。

作为思科自防御网络的核心组件，Cisco ASA 5500系列能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。

思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能，还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。

Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术，无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。

利用其多功能安全组件，企业几乎不需要作任何两难选择，也不会面临任何风险，既可以提供强有力的安全保护，又可以降低在多个地点部署多台设备的运营成本。

Cisco ASA 5500系列包含全面的服务，通过为中小企业和大型企业定制的产品版本，能满足各种部署环境的特定需求。

这些版本为各地点提供了相应的服务，从而达到出色的保护效果。

每个版本都综合了一套Cisco ASA 5500系列的重点服务（如防火墙、IPSec和SSL VPN、IPS，以及Anti-X服务），以符合企业网络中特定环境的需要。

通过确保满足每个地点的安全需求，网络整体安全性也得到了提升。

Cisco ASA 5500系列自适应安全设备Cisco ASA 5500 系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护：经过市场验证的安全与VPN功能- 全特性、高性能的防火墙，入侵防御系统(IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。

ciscoasa# ?aaa-server Specify a AAA server 指定一个AAA服务器：aaa配置activation-key Modify activation-key 修改激活码asdm Disconnect a specific ASDM session 自适应安全设备管理器(ASDM)。

blocks Set block diagnostic parameters 设置块诊断参数capture Capture inbound and outbound packets on one or 捕获入站和出站的包more interfacescd Change current directory 改变当前的目录clear Reset functions 复位功能client-update Execute client updates on all or specific 客户端更新tunnel-groupsclock Manage the system clock 管理系统时钟configure Configure using various methods 全局配置模式使用copy Copy from one file to another 复制拷贝文件cpu general CPU stats collection tools CPU状态收集工具crashinfo Crash information 死机信息crypto Execute crypto Commands 执行加密命令debug Debugging functions (see also 'undebug') 调试功能配置delete Delete a file 删除一个文件dir List files on a filesystem 列出文件disable Exit from privileged mode 退出特权模式dynamic-access-policy-config Activates the DAP selection configuration file. 激活DAP选择配置文件。

Cisco ASA5505防火墙详细配置教程及实际配置案例interface Vlan2nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级ip address X.X.X.X 255.255.255.224 --------------------调试外网地址!interface Vlan3nameif inside ----------------------------------------对端口命名内端口security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级!interface Ethernet0/0switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定!interface Ethernet0/1switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定!interface Ethernet0/2shutdown!interface Ethernet0/3shutdown!interface Ethernet0/4shutdown!interface Ethernet0/5shutdown!interface Ethernet0/6shutdown!interface Ethernet0/7shutdown!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns domain-lookup insidedns server-group DefaultDNSname-server 211.99.129.210name-server 202.106.196.115access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过）access-list 102 extended permit ip anyany ------------------设置ACL列表（允许所有IP全部通过）pager lines 24mtu outside 1500mtu inside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interface ----------------------------------------设置NAT地址映射到外网口nat (inside) 1 0.0.0.0 0.0.0.0 0---------------------------------NAT地址池（所有地址）0无最大会话数限制access-group 102 in interface outside ------------------―――设置ACL列表绑定到外端口route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 ------------------设置到外网的默认路由timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstart telnet 0.0.0.0 0.0.0.0 inside ----------------------------------------设置TELNET所有地址进入telnet timeout 5ssh 0.0.0.0 0.0.0.0 outside ----------------------------------------设置SSH所有地址进入ssh timeout 30ssh version 2console timeout 0!dhcpd address 192.168.1.100-192.168.1.199inside ------------------设置DHCP服务器地址池dhcpd dns 211.99.129.210 202.106.196.115 interfaceinside ------------------设置DNS服务器到内网端口dhcpd enableinside --------------------------------------------------------------设置DHCP应用到内网端口!前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵.没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的.Cisco ASA5505配置cisco, config, telnet, 防火墙, Cisco1.配置防火墙名ciscoasa> enableciscoasa# configure terminalciscoasa(config)# hostname asa55052.配置telnetasa5505(config)#telnet 192.168.1.0 255.255.255.0 inside ↑//允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)# password cisco ------------------远程密码asa5505(config)# enable password cisco ------------------特权模式密码4.配置IPasa5505(config)# interface vlan 2 ------------------进入vlan2asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 ------------------vlan2配置IPasa5505(config)#show ip address vlan2 ------------------验证配置5.端口加入vlanasa5505(config)# interface e0/3 ------------------进入接口e0/3asa5505(config-if)# switchport access vlan 3 ------------------接口e0/3加入vlan3asa5505(config)# interface vlan 3 ------------------进入vlan3asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 ------------------vlan3配置IPasa5505(config-if)# nameif dmz ------------------vlan3名asa5505(config-if)# no shutdown ------------------开启asa5505(config-if)# show switch vlan ------------------验证配置6.最大传输单元MTUasa5505(config)#mtu inside 1500 ------------------inside最大传输单元1500字节asa5505(config)#mtu outside 1500 ------------------outside最大传输单元1500字节asa5505(config)#mtu dmz 1500 ------------------dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arp timeout 14400 ------------------arp表的超时时间14400秒8.FTP模式asa5505(config)#ftp mode passive ------------------FTP被动模式9.配置域名asa5505(config)#domain-name 10.启动日志asa5505(config)#logging enable ------------------启动日志asa5505(config)#logging asdm informational ------------------启动asdm报告日志asa5505(config)#Show logging ------------------验证配置11.启用http服务asa5505(config)#http server enable ------------------启动HTTP server,便于ASDM连接。

使用思科ASA 5500系列进行VPN连接思科®ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台，面向中小型企业（SMB）应用。

ASA 5500系列提供基于防火墙、入侵防御系统（IPS）和网络反病毒功能的自适应威胁防御解决方案，它可以与这些服务一起使用，或者作为专门功能的VPN平台独立使用。

在VPN服务方面，思科ASA 5500系列采用灵活的技术，能够提供量身定做的解决方案，满足远程接入和站点到站点的连接要求。

思科ASA 5500系列能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。

借助ASA 5500系列，企业能够享受到互联网的连接和成本优势，而不会影响到企业安全策略的完整性。

通过将VPN服务与全面的威胁缓解服务相结合，ASA 5500系列能够提供安全的VPN连接和通信。

集成的自适应威胁防御功能可以提供统一的防御，帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。

此外，还可以对VPN流量实施详细的应用和访问控制策略，使个人和用户组能够访问他们获得授权的应用、网络服务和资源（图1）。

图1. 适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSL VPN服务远程接入思科ASA 5500系列提供完整的远程接入VPN解决方案，支持大量连接方式，包括WebVPN（SSL VPN）、思科VPN客户端（IPSec VPN），以及Nokia Symbian移动无线与PDA客户端的连接。

利用思科在远程接入领域的专业技术，企业能够部署单个集成平台，该平台广泛支持各种核心企业应用，并具备易管理性和部署灵活性。

用户可从支持SSL的Web浏览器或VPN客户端建立安全的远程连接，从而实现最大的灵活性和应用访问，而无需部署和管理单独的设备。

asa5550第一篇：asa 5550ASA Version 8.2(1) !hostname ciscoasadomain-name enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encryptednamesdns-guard !interface Vlan1nameif insidesecurity-level 100ip address 192.168.11.1 255.255.255.0 !interface Vlan2nameif outsidesecurity-level 0ip address 27.115.xx.xxx 255.255.255.xxx !interface Ethernet0/0switchport access vlan 2speed 100 duplex full !interface Ethernet0/1 !interface Ethernet0/2 !interface Ethernet0/3 !interface Ethernet0/4speed 100duplex full !interface Ethernet0/5 !interface Ethernet0/6 !interface Ethernet0/7 !ftp mode passivedns domain-lookup insidedns domain-lookup outsidedns server-group DefaultDNS domain-name object-group protocol TCPUDPprotocol-object udpprotocol-object tcp access-list out extended permit icmp any anyaccess-list out extended permit tcp any host 27.115.xx.xxx eq smtpaccess-list 120 extended permit tcp any host 27.115.xx.xxx eq 3389access-list 120 extended permit tcp any host 27.115.xx.xxx eq 1433access-list 120 extended permit tcp any host 27.115.xx.xxx eq 8090access-list 120 extended permit tcp any host 27.115.xx.xxx eq 8091access-list 120 extended permit tcp any host 27.115.xx.xxx eq 8092access-list 120 extended permit tcp any host 27.115.xx.xxx eq pptpaccess-list 120 extended permit gre any host 27.115.xx.xxx access-list 120 extended permit ah any host 27.115.xx.xxx access-list 120 extended permit esp any host 27.115.xx.xxx access-list 120 extended permit udp any host 27.115.xx.xxx eq 1701access-list 120 extended permit ip any anyaccess-list 120 extended permit tcp any anyaccess-list 120 extended permit udp any anyaccess-list vpn_link standard permit 192.168.11.0 255.255.255.0access-list inside_nat extended permit ip 192.168.11.0 255.255.255.0 10.33.166.0255.255.255.128pager lines 24logging enablelogging asdm informationalmtu inside 1500mtu outside 1500ip local pool vpn-pool 10.33.166.1-10.33.166.100 mask 255.255.255.0ip verify reverse-path interface insideip verify reverse-path interface outsideicmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interfacenat (inside) 0 access-list inside_natnat (inside) 1 0.0.0.0 0.0.0.0static (inside,outside) tcp interface 1433 192.168.11.44 1433 netmask 255.255.255.255static (inside,outside) tcp interface 3389 192.168.11.44 3389 netmask 255.255.255.255static (inside,outside) tcp interface 8091 192.168.11.44 8091 netmask 255.255.255.255static (inside,outside) tcp interface 8092 192.168.11.44 8092netmask 255.255.255.255static (inside,outside) tcp interface 8090 192.168.11.44 8090 netmask 255.255.255.255static (inside,outside) tcp interface pptp 192.168.11.44 pptp netmask 255.255.255.255static (inside,outside) udp interface 1701 192.168.11.44 1701 netmask 255.255.255.255access-group 120 in interface insideaccess-group 120 in interface outsideroute outside 0.0.0.0 0.0.0.0 27.115.91.217 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00dynamic-access-policy-record DfltAccessPolicyaaa authentication telnet console LOCALaaa authentication ssh console LOCALhttp server enablehttp 0.0.0.0 0.0.0.0 outsidehttp 0.0.0.0 0.0.0.0 insideno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartcrypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmaccrypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmaccrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfscrypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHAESP-DES-MD5crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAPcrypto map outside_map interface outsidecrypto ca servershutdowncrypto isakmp enable outsidecrypto isakmp policy 10authentication pre-shareencryption deshash shagroup 2lifetime 86400telnet 0.0.0.0 0.0.0.0 insidetelnet timeout 5 ssh 0.0.0.0 0.0.0.0 insidessh 0.0.0.0 0.0.0.0 outside ssh timeout 5console timeout 0dhcpd dns 210.22.70.3 210.22.84.3 !dhcpd address 192.168.11.50-192.168.11.129 insidedhcpd dns 192.168.11.44 210.22.70.3 interface insidedhcpd enable inside !threat-detection basic-threatthreat-detection statistics portthreat-detection statistics protocolthreat-detection statistics access-listthreat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200webvpngroup-policy vpnlink internalgroup-policy vpnlink attributesdns-server value 210.22.70.3 210.22.84.3vpn-tunnel-protocol IPSecsplit-tunnel-policy tunnelspecifiedsplit-tunnel-network-list value vpn_linkusername cisco password 3USUcOPFUiMCO4Jk encrypted username ciscovpn password 3USUcOPFUiMCO4Jk encryptedusername ciscovpn attributesvpn-group-policy vpnlinkservice-type remote-accessusername martec password xPix6l/t1.eRJRdf encrypted privilege 15tunnel-group vpnlink type remote-accesstunnel-group vpnlink general-attributesaddress-pool vpn-pooldefault-group-policy vpnlinktunnel-group vpnlink ipsec-attributespre-shared-key * !class-map inspection_defaultmatch default-inspection-traffic !policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect netbiosinspect rshinspect rtspinspect skinnyinspect sqlnetinspect sunrpcinspect tftpinspect sipinspect xdmcp !service-policy global_policy globalprompt hostname contextCryptochecksum:d29ef0f7cdd71a0a8f2db10bc56a8c08第二篇：ASA塑料介绍（范文模版）ASA塑料介绍改性树脂(ASA)是一种由丙烯腈（Acrylonitile）、苯乙烯（Styrene）、丙烯酸橡胶（Acrylate）组成的于上世纪70年代研制成功的三元聚合物，属于抗冲改性树脂。

关于ASA限速的问题对于限速中出现的input和output的方向是针对你把策略应用到的接口，比如：outside或者Inside接口如果你应用在inside接口，那么input就是上行流量，output就是下行流量如果你应用在outside接口，那么Input就是下行流量，output就是上行流量对单个IP进行限速是可以的，但必须一个ACL匹配一个class-map，否则会速度卡。

举例如下：access-list xiaozhen extended permit ip any host 192.168.200.100class-map xiaozhenmatch access-list xiaozhenpolicy-map xiansuclass xiaozhenpolice output 1600000 40000//这里必须指明方向service-policy xiansu interface inside如果做和上面一样格式ACL将别的IP加入到xiaozhen这个class-map里，将导致class内所有的主机很卡应该一个IP做一个类，这样不会卡。

一般我们不建议这样规划设计。

也可以对内网某个网段进行限速：access-list vlan12 extended permit ip 192.168.10.0 255.255.255.0 any//匹配上行流量access-list vlan12 extended permit ip any 192.168.10.0 255.255.255.0//匹配下行流量class-map vlan12match access-list vlan12policy-map xiansuclass vlan12policy input 150000 567000//前面一个数字是基本速率，后一个是突发速率policy output 150000 567000class *****police input ***** *****police output ***** ****有几个class 就有几个限速的策略service-policy xiansu interface inside也可以做如下限速：access-list allhost extended permit ip any anyclass-map allhostmatch access-list allhostpolice-map xiansuclass allhostpolice input 150000 560000police output 150000 560000service-police xiansu interface inside这个可以限制inside部分的主机的上传和下载的流量限制也可以对某个网段或主机不限速access-list nolimit extended deny ip 192.168.1.0 255.255.255.0 anyaccess-list nolimit extended deny ip any 192.168.1.0 255.255.255.0还有一点，就是你的outside口做了pat的话，你的限速策略最好不要应用在Outside，当然应用也可以，不过ACL就得any any不然或者不匹配，或者匹配了但是网速很卡的情况。

配置asa 5505防火墙1.配置防火墙名ciscoasa> enableciscoasa# configure terminalciscoasa(config)# hostname asa55052.配置Http.telnet和ssh管理<config>#username xxx password xxxxxx encrypted privilege 15 <config>#aaa authentication enable console LOCAL<config>#aaa authentication telnet console LOCAL<config>#aaa authentication http console LOCAL<config>#aaa authentication ssh console LOCAL<config>#aaa autoentication command LOCAL<config>#http server enable<config>#http 192.168.1.0 255.255.255.0 inside<config>#telnet 192.168.1.0 255.255.255.0 inside<config>#ssh 192.168.1.0 255.255.255.0 inside<config>#crypto key generate rsa(打开SSH服务)//允许内部接口192.168.1.0网段telnet防火墙3.配置密码asa5505(config)# password cisco//远程密码asa5505(config)# enable password cisco//特权模式密码4.配置IPasa5505(config)# interface vlan 2//进入vlan2asa5505(config-if)# ip address 218.xxx.37.222 255.255.255.192 //vlan2配置IPasa5505(config)#show ip address vlan2//验证配置5.端口加入vlanasa5505(config)# interface e0/3//进入接口e0/3asa5505(config-if)# switchport access vlan 3//接口e0/3加入vlan3asa5505(config)# interface vlan 3//进入vlan3asa5505(config-if)# ip address 10.10.10.36 255.255.255.224//vlan3配置IPasa5505(config-if)# nameif dmz//vlan3名asa5505(config-if)# no shutdown//开启asa5505(config-if)# show switch vlan//验证配置6.最大传输单元MTUasa5505(config)#mtu inside 1500//inside最大传输单元1500字节asa5505(config)#mtu outside 1500//outside最大传输单元1500字节asa5505(config)#mtu dmz 1500//dmz最大传输单元1500字节7.配置arp表的超时时间asa5505(config)#arp timeout 14400//arp表的超时时间14400秒8.FTP模式asa5505(config)#ftp mode passive//FTP被动模式9.配置域名asa5505(config)#domain-name 10.启动日志asa5505(config)#logging enable//启动日志asa5505(config)#logging asdm informational//启动asdm报告日志asa5505(config)#Show logging//验证配置11.启用http服务asa5505(config)#http server enable ///启动HTTP server,便于ASDM连接。

实验四 ASA 5505 从内网访问DMZ区服务器（真实防火墙）一、实验目标在这个实验中朋友你将要完成下列任务：1．创建vlan2．给vlan命名3．给vlan分配IP4．把接口加入到相应的VLAN，并配置接口的速率、双工（半工）5．配置内部转化地址池（nat）外部转换地址globla6．配置WWW和FTP服务器二、实验拓扑------------------------------------------------------------------------------------------------------------------------三、实验过程1. ASA 5505基本配置：ciscoasa>ciscoasa> enablePassword:ciscoasa#ciscoasa# configure terminalciscoasa(config)# interface vlan44 *建立ID为44的虚拟局域网（vlan）ciscoasa(config-if)# nameif dmz *把vlan44的接口名称配置为dmzciscoasa(config-if)# security-level 50 *配置dmz 安全级别为50ciscoasa(config-if)# ip address 11.0.0.1 255.0.0.0 *给vlan44配置IP地址ciscoasa(config-if)# interface vlan33 *建立ID为33的虚拟局域网（vlan）ciscoasa(config-if)# nameif inside *把vla33的接口名称配置为inside，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。

在默认情况下，inside安全级别为100。

INFO: Security level for "inside" set to 100 by default.ciscoasa(config-if)# ip address 192.168.0.211 255.255.255.0 *给vlan33配置IP地址ciscoasa(config-if)# exitciscoasa(config)# interface ethernet0/2 *进入e0/2接口的配置模式ciscoasa(config-if)# switchport access vlan 44 *把e0/2接口划分到vlan22中ciscoasa(config-if)# speed auto *设置e0/2接口的速率为自动协商ciscoasa(config-if)# duplex auto *设置e0/2接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/2接口ciscoasa(config-if)# interface e0/0 *进入e0/1接口的配置模式ciscoasa(config-if)# switchport access vlan 33 *把e0/0接口划分到vlan33中ciscoasa(config-if)# speed auto *设置e0/0接口的速率为自动协商ciscoasa(config-if)# duplex auto *设置e0/0接口的工作模式为自动协商ciscoasa(config-if)# no shutdown *打开e0/0接口ciscoasa(config-if)# exitciscoasa(config)#2. ASA 5505本身接口的连通性测试①测试防火墙本身vlan44接口连通性ciscoasa# ping 11.0.0.1Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms②测试防火墙本身vlan33接口连通性ciscoasa# ping 192.168.0.211Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.0.211, timeout is 2 seconds:3. 配置PC：具体网络参数如拓扑图所示。