ASA命令

交换机基本数据的配置：基本数据：COR(CLASS OF RESTRICTION)、COS(CLASS OF SERVICE)、system-feature、FA C注：命令为change话机及寻线组的设置：Station、Hunt-group注：命令为add、change、remove中继的设置：Trunk注：命令为add、change、remove常用命令键盘操作：命令输入 ---- 在“command:"之后输入确认 ---- 大键盘上的“Enter”确认并存储 ---- 小键盘上的“Enter”；或“F3”（在使用ASA时使用）下一页 ---- 大键盘上的“PgDn”；或“F7”（在使用ASA时使用）上一页 ---- 大键盘上的“PgUp”；或“F8”（在使用ASA时使用）帮助 ---- 小键盘上的“help”；或“F5”（在使用ASA时使用）取消 ---- 小键盘上的“cancel”或“F1”（在使用ASA时使用）命令格式：操作动作 + 操作对象 + 操作限定句例： add station 6001译：添加分机6001常用操作动作：add 添加change 更改remove 删除list 列表status 查看状态monitor 监控常用操作对象：station 分机trunk-group 中继组常用命令：List命令list trunk-group 查看系统目前的中继线情况list hunt-group 查看系统所设置的寻线组设置list station 查看系统所设置的分机List con sta 查询分机（含数字，模拟）板卡port使用状况list cti-link 查询link状况List con ds1 查询各DS1板卡port使用状况List login 查看用户名change命令change station xxxx 更改分机参数change node-names ip 更改外接终端IP地址及接入名change system cdr 计费change system mu 系统多屏信息change public-unknown-N 指定分机送主叫号change pickup-group X 话务组设置（设置一个通话组，组中成员可做强听等操作）change cov path X设置某个station的接线方式脚本，上述命令可设定一个脚本，再由分机加载该脚本。

ASA 5505 配置手册1. 初始配置ciscoasa> enable 从进入用户模式进入特权模式ciscoasa# configure terminal 从特权模式进入全局配置模式ciscoasa(config)# hostname AYKJ-FW 更改防火墙名称AYKJ-FW(config)# passwd aykj 配置远程登录密码AYKJ-FW(config)# enable password aykj 配置enable密码2. 端口配置AYKJ-FW(config)# interface Vlan2 创建SVI口，ASA5505必须通过SVI口配置地址AYKJ-FW(config)# nameif outside 定义为outside口，即连接外网接口AYKJ-FW(config)# security-level 0 定义安全级别，范围0~100，其中inside、outside 口安全级别为系统自动定义和生成AYKJ-FW(config)# ip address 221.226.186.58 255.255.255.252 配置运营商分配公网地址AYKJ-FW(config)# interface Vlan3AYKJ-FW(config)# nameif inside 定义为inside口，即连接内网接口AYKJ-FW(config)# security-level 100 inside口默认安全级别100AYKJ-FW(config)# ip address 10.0.0.1 255.255.255.0 配置内网口地址3. 管理配置AYKJ-FW(config)# telnet 0.0.0.0 0.0.0.0 inside 允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)# ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)# ssh version 1 使用ssh版本1AYKJ-FW(config)# http server enable 开启web页面，即开启asdm，与传统的如ASA5520等有专门管理口的防火墙不同，ASA5505只要启用服务，并应用到端口，那么只要网络通畅就可以通过asdm管理，更加灵活AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 insideAYKJ-FW(config)# http 0.0.0.0 0.0.0.0 outside 这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙4. 路由配置AYKJ-FW(config)# route outside 0.0.0.0 0.0.0.0 221.226.186.57 配置上网默认路由，下一条为运营商分配的网关AYKJ-FW(config)# route inside [内网网段] [掩码] [防火墙内网口] 配置内网路由，由于本次内网与防火墙在一个地址段，所以不需要5. NAT配置5.1 动态NAT配置AYKJ-FW(config)# global (outside) 1 interface 将outside接口设置为NA T的外网接口AYKJ-FW(config)# nat (inside) 1 10.0.0.0 255.255.255.0 允许内网网段通过NA T访问互联网5.2 静态NAT映射AYKJ-FW(config)# access-list perout extended permit tcp any host 221.226.186.58 eq www 首先在防火墙外网口开放需要做映射的端口AYKJ-FW(config)# access-group perout in interface outside 在外网口启用该ACLAYKJ-FW(config)# static (inside,outside) tcp interface www 10.0.0.150 www netmask 255.255.255.255 将内网服务器的端口映射到外网AYKJ-FW(config)# global (inside) 1 interfaceAYKJ-FW(config)# static (inside,inside) tcp 221.226.186.58 www 10.0.0.150 www netmask 255.255.255.255 以上两条命令的作用是当内网用户通过外网地址去访问内网服务器时，直接映射到内网，如果不做则内网用户不能通过外网地址访问内网服务器6. VPN配置6.1 VPN基础配置AYKJ-FW(config)# ip local pool vpn 10.0.1.210-10.0.1.220 mask 255.255.255.0 创建vpn 地址池，地址池应与本地网段不在同一个段AYKJ-FW(config)# access-list inside_nat0_outbound extended permit ip 10.0.0.0255.255.255.0 10.0.1.0 255.255.255.0 定义vpn流量与内网流量的互访AYKJ-FW(config)# nat (inside) 0 access-list inside_nat0_outbound 该流量不参与nat翻译AYKJ-FW(config)# access-list split standard permit 10.0.0.0 255.255.255.0 定义vpn用户允许访问网段AYKJ-FW(config)# username asa password cisco 创建vpn用户，不做策略则该用户可以通过SSL和IPSEC拨入VPN6.2 SSL(WEB) VPN配置AYKJ-FW(config)# webvpn 配置webvpnAYKJ-FW(config-webvpn)# enable outside 在外网口启用webvpnAYKJ-FW(config-webvpn)# svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 调用vpn 客户端软件AYKJ-FW(config-webvpn)# svc enable 启用客户端软件AYKJ-FW(config)# group-policy ssl internal 创建webvpn组策略AYKJ-FW(config)# group-policy ssl attributes 配置组策略属性AYKJ-FW(config-group-policy)# vpn-tunnel-protocol svc webvpn 启用webvpn隧道AYKJ-FW(config-group-policy)# split-tunnel-policy tunnelspecified 只允许split匹配流量通过vpn隧道AYKJ-FW(config-group-policy)# split-tunnel-network-list value split 水平分割策略使用split，由于vpn用户没有网关，需要通过该策略使vpn用户访问内网AYKJ-FW(config)# tunnel-group ssl type remote-access 创建vpn隧道，类型为远程接入AYKJ-FW(config)# tunnel-group ssl general-attributes 配置vpn隧道基础属性AYKJ-FW(config-tunnel-general)# address-pool vpn 调用vpn地址池6.3 IPSEC VPN 配置AYKJ-FW(config)# crypto isakmp enable outside 在outside口启用ipsec vpnAYKJ-FW(config)# crypto isakmp disconnect-notify 连接中断时报错AYKJ-FW(config)# crypto isakmp policy 10 配置策略优先级AYKJ-FW(config-isakmp-policy)# authentication pre-share 通过预共享密钥拨入vpn AYKJ-FW(config-isakmp-policy)# encryption 3des通过3des格式加密数据AYKJ-FW(config-isakmp-policy)# hash md5 通过md5算法校验数据AYKJ-FW(config-isakmp-policy)# group 2 设置迪夫-赫尔曼算法组AYKJ-FW(config-isakmp-policy)# lifetime 86400 设置连接时长AYKJ-FW(config)# group-policy aykj internal创建ipsec vpn策略组AYKJ-FW(config)# group-policy aykj attributes 配置策略组属性AYKJ-FW(config-group-policy)# vpn-tunnel-protocol IPSec 启用ipsec vpn隧道AYKJ-FW(config-group-policy)# split-tunnel-policy tunnelspecified 只允许split匹配流量通过vpn隧道AYKJ-FW(config-group-policy)# split-tunnel-network-list value split 水平分割策略使用split，由于vpn用户没有网关，需要通过该策略使vpn用户访问内网AYKJ-FW(config)# tunnel-group aykj type remote-access 创建vpn隧道，类型为远程接入AYKJ-FW(config)# tunnel-group aykj general-attributes 配置隧道基础属性AYKJ-FW(config-tunnel-general)# address-pool vpn调用地址池AYKJ-FW(config-tunnel-general)# default-group-policy aykj 调用组策略AYKJ-FW(config)# tunnel-group aykj ipsec-attributes 配置隧道ipsec属性AYKJ-FW(config-tunnel-ipsec)# pre-shared-key aykj 预共享密钥为aykj。

xx局A V AY A交换机管理命令登入ASA 管理软件双击图标进入ASA 按回车按键进入下面一个界面登陆: admin 回车确认密码：Avaya1234 （都小写）PIN: avaya123 (小写) 回车确认类型选择：4410 回车确认进入命令窗口command:帮助按键：F1 退出（不保存）F3 保存（确认）F7 下一页F8上一页分机管理功能1）增加分机命令：ADD STATION XXXX (xxxx为分机号码)Eg : add station 8888Type :callrid (模拟电话类型为callrid ) IP 话机类型为9640 本次项目使用1608的話机类型Port：01A1010 (物理板卡端口地址此地址为配线表端口号的地址)STATIONType: callrid Lock Messages? n COR: 1Port:x Security Code: COS: 12）修改分机命令：CHAN STA TION XXXX修改分机端口分机权限COR 0为内线 1为市话2国内3国际本次默认都是国际Type: callrid Lock Messages? n COR: 0 为内线1为市话2国内3国际Port: 01A1011 Security Code: COS: 1FEATURE OPTIONSLWC Reception: msa-spe Auto Select Any Idle Appearance? n LWC Activation? y Coverage Msg Retrieval? y CDR Privacy? n Auto Answer: none Redirect Notification? y Data Restriction? n Per Button Ring Control? n Idle Appearance Preference? n修改分机端口修改分机类型修改分机权限都在这个命令下修改3）删除分机命令：REMOVE STATION XXXX4）察看分机权限COR 值命令：1）display station xxxx 2)在表里有个COR值这个用来定义出局的权限。

思科系统公司思科在全球设有 200 多个办事处。

有关地址、电话号码和传真号码信息， 可查阅思科网站：/go/offices 。

思科 ASA 系列常规操作 CLI 配置指南软件版本 9.4适用于 ASA 5506-X 、ASA 5506H-X 、ASA 5506W-X 、ASA 5508-X 、ASA 5512-X 、ASA 5515-X 、ASA 5516-X 、ASA 5525-X 、ASA 5545-X 、ASA 5555-X 、ASA 5585-X 、ASA 服务模块和自适应安全虚拟设备首次发行日期：2015 年 3 月 23 日最后更新日期：2015 年 4 月 7 日文本部件号： 不适用，仅在线提供本手册中有关产品的规格和信息如有更改，恕不另行通知。

本手册中的所有声明、信息和建议均准确可靠，但我们不为其提供任何明示或暗示的担保。

用户必须承担使用产品的全部责任。

随附产品的软件许可和有限担保在随产品一起提供的信息包中提供，且构成本文的一部分。

如果您无法找到软件许可或有限担保，请与思科代表联系以获取副本。

思科所采用的 TCP 信压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版，是 UCB 的 UNIX 操作系统公共域版本的一部分。

保留所有权利。

版权所有 © 1981，加州大学董事会。

无论在该手册中是否作出了其他担保，来自这些供应商的所有文档文件和软件都按“原样”提供且仍有可能存在缺陷。

思科和上述供应商不承诺所有明示或暗示的担保，包括（但不限于）对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保。

在任何情况下，对于任何间接、特殊、连带发生或偶发的损坏，包括（但不限于）因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏，思科及其供应商概不负责，即使思科及其供应商已获知此类损坏的可能性也不例外。

思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。

Asa/PIX的Static Route Tracking命令可以有效解决双ISP出口的问题存在问题：静态路由没有固定的机制来决定是否可用，即使下一跳不可达，静态路由还是会存在路由表里，是有当ASA自己的和这条路由相关接口down了，才会从路由表里删除解决办法：Static Route Tracking这个feature提供一种方法来追踪静态路由，当主路由失效时可以安装备份路由进路由表，例如：2条缺省指向不同ISP，当主的ISP 断了，可以立即启用备用ISP 链路，它是使用ICMP来进行追踪的，如果在一定holdtime没有收到reply的话就认为这条链路down了，就会立即删除该静态路由，预先设置的备份路由就会进入路由表。

注意：配置时要在outside口上放开icmp reply（如果打开了icmp限制）pixFirewall（config）#sla monitor sla_id #指定检测的slaIDPixfirewall（config-sla-monitor）# type echo protocol ipIcmpEcho target_ip interfaceif_name #指定检测的协议类型为ICMP协议，并指定检测目的地址和接口这个必须是个可以ping通的地址，当这个地址不可用时，track跟踪的路由就会被删除，备份路由进路由表pixFirewall（config）#sla monitor schedule sla_id ［life {forever | seconds}］［start-time {hh:mm ［：ss］［month day | day month］| pending | now | after hh:mm:ss}］［ageout seconds］［recurring］#指定一个Schedule，一般会是start now必须要写时间表，不然track的路由进不了路由表pixFirewall（config）# track track_id rtr sla_id reachability #指定一个TrackID，并要求追踪SlaID 的可达性pixFirewall（config）# route if_name dest_ip mask gateway_ip ［admin_distance］track track_i #设定默认路由，并绑定一个TrackID配置实例：sla monitor 1type echo protocol ipIcmpEcho 202.1.1.2 interface dxsla monitor schedule 1 start-time now（必须配置，不然track的路由进不了路由表）track 2 rtr 1 reachabilityroute dx 0.0.0.0 0.0.0.0 202.1.1.2 1 track 2 （电信默认网关，会追踪地址的可达性）route wt 0.0.0.0 0.0.0.0 101.1.1.2 2 （网通默认网关）当配置的202.1.1.2 ping不通（ICMP协议不能Reachability）的时候，route dx 0.0.0.0 0.0.0.0 202.1.1.2 1就会在路由表里删除，并由第二条默认路由即route wt 0.0.0.0 0.0.0.0 101.1.1.2 2取代，当202.1.1.2恢复后，又会重新变为dx 0.0.0.0 0.0.0.0 202.1.1.2 1这个feature我想大家在很多项目里都会遇到，ASA可以有效解决！这与我们用路由器实现双出口备份是一样的，通过配置SAA，检查其连通性。

xx局A VAYA交换机管理命令登入ASA 管理软件双击图标进入ASA 按回车按键进入下面一个界面登陆: admin 回车确认密码：Avaya1234 （都小写）PIN: avaya123 (小写) 回车确认类型选择：4410 回车确认command: 进入命令窗口F8上一页F7 F3 保存（确认）下一页F1 帮助按键：退出（不保存）分机管理功能增加分机1）) (xxxx为分机号码ADD STATION XXXX 命令：8888 Eg : add station的本次项目使用1608IP 模拟电话类型为callrid ) 话机类型为9640 Type :callrid ( 話机类型) 此地址为配线表端口号的地址：01A1010 (物理板卡端口地址PortSTATIONcallrid Lock Messages? n COR: 1 Type:Security Code: COS: 1Port:x修改分机2）XXXX 命令：CHAN STATIONCOR 分机权限修改分机端口本次默认都是国际3国际国内为内线 0 1为市话2callridLock Messages? n COR: 0 为内线1为市话2国内3国际Type:Port: 01A1011 Security Code: COS: 1FEATURE OPTIONSLWC Reception: msa-spe Auto Select Any Idle Appearance? nLWC Activation? y Coverage Msg Retrieval? yCDR Privacy? n Auto Answer: noneRedirect Notification? y Data Restriction? nPer Button Ring Control? n Idle Appearance Preference? n修改分机端口修改分机类型修改分机权限都在这个命令下修改3）删除分机命令：REMOVE STATION XXXX4）察看分机权限COR 值命令：1）display station xxxx 2)在表里有个COR值这个用来定义出局的权限。

CISCO ASA防火墙ASDM安装和配置准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端输入一个连接名，比如“ASA”,单击确定。

选择连接时使用的COM口，单击确定。

点击还原为默认值。

点击确定以后就可能用串口来配置防火墙了。

在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。

在串口下输入以下命令：CiscoASA>CiscoASA> enPassword:CiscoASA# conf t 进入全局模式CiscoASA(config)# username cisco password cisco 新建一个用户和密码CiscoASA(config)# interface e0 进入接口CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 添加IP地址CiscoASA(config-if)# nameif inside 给接口设个名字CiscoASA(config-if)# no shutdown 激活接口CiscoASA(config)#q 退出接口CiscoASA(config)# http server enable 开启HTTP服务CiscoASA(config)# http 192.168.1.0 255.255.255.0 inside 在接口设置可管理的IP地址CiscoASA(config)# show run 查看一下配置CiscoASA(config)# wr m 保存经过以上配置就可以用ASDM配置防火墙了。

首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.1.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.1.1/admin弹出一下安全证书对话框，单击“是”输入用户名和密码，然后点击“确定”。

A S A防火墙I P S E C V P N配置Hessen was revised in January 2021一.IPSEC VPN (site to site)第一步：在外部接口启用IKE协商crypto isakmp enable outside第二步：配置isakmp协商策略isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share //配置认证方式为预共享密钥isakmp policy 5 encryption des //配置isakmp 策略的加密算法isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法isakmp policy 5 group 2 //配置Diffie-Hellman组isakmp policy 5 lifetime 86400 //默认的有效时间第三步：配置需要加密的数据流192.168.241.0为本地内网地址，10.10.10.0为对方内网地址access-list ipsec-vpn extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0第四步：设置到对方私网地址的路由配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址route outside 10.10.10.0 255.255.255.0 x.x.x.x第五步：配置ipsec的数据转换格式集crypto ipsec transform-set my_trans esp-des esp-none第六步：建立加密静态映射图crypto map vpn_to_test 10 match address ipsec-vpn //配置哪些数据流会启用IPSEC加密crypto map vpn_to_test 10 set peer x.x.x.x //指定对端地址x.x.x.x为对端VPN公网地址crypto map vpn_to_test 10 set transform-set my_trans //建立加密静态映射图，加密格式引用数据转换格式集my_trans（两边要一致）第七步：将加密静态映射图应用于外网接口crypto map vpn_to_test interface outside第八步：建立IPSEC VPN隧道组tunnel-group x.x.x.x type ipsec-l2l //建立IPSEC VPN隧道组类型tunnel-group x.x.x.x ipsec-attributes //配置IPSEC VPN隧道组参数pre-shared-key * //配置预共享密钥，两边要一致，否则第一阶段协商不起来二.IPSEC VPN (client to site)第一步：配置地址池ip local pool testipsec 172.19.7.1-172.19.7.127 mask 255.255.255.128 //ipsec拨入后的地址池第二步：配置隧道分离ACLaccess-list split-ssl extended permit ip 192.168.0.0 255.255.0.0 any第三步：配置访问控制ACLaccess-list testipsec extended permit ip any 192.168.0.0 255.255.0.0第四步：配置不走NAT的ACLaccess-list nonat-vpn extended permit ip 192.168.0.0 255.255.0.0 172.19.0.0 255.255.248.0nat (inside) 0 access-list nonat-vpn // 不走NATcrypto isakmp enable outside //在外部接口启用IKE协商第五步：配置IKE策略isakmp policy 5 authentication pre-share //配置认证方式为预共享密钥isakmp policy 5 encryption des //配置isakmp 策略的加密算法isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法isakmp policy 5 group 2 //配置Diffie-Hellman组isakmp policy 5 lifetime 86400 //默认的有效时间第六步：配置组策略group-policy ipsectest internal //配置组策略group-policy ipsectest attributes //配置组策略属性vpn-filter value testipsec //设置访问控制vpn-tunnel-protocol IPSec //配置隧道协议split-tunnel-policy tunnelspecified //建立隧道分离策略split-tunnel-network-list value split-ssl //配置隧道分离，相当于推送一张路由表第七步：设置VPN隧道组tunnel-group ipsectest type remote-access //设置VPN隧道组类型tunnel-group ipsectest general-attributes //设置VPN隧道组属性 address-pool testipsec //设置地址池default-group-policy ipsectest //指定默认的组策略tunnel-group ipsectest ipsec-attributes //设置VPN 远程登入(即使用隧道分离)的ipsec属性pre-shared-key * //设置共享密钥1．查看IPSEC VPN的相关信息基本命令show crypto isakmp sa //查看IPSEC VPN isakmp（IPSEC第一阶段）协商的结果show crypto ipsec sa peer X.X.X.X //查看IPSEC 会话的相关信息（IPSEC 第二阶段）debug crypto ipsec //ipsec site to site建立不起来的时候可使用debug命令来获取相关错误信息，通常ASA设备的CPU利用率都比较低，debug命令可放心使用，具体情况区别对待IPSEC第一阶段协商不起来的常见原因:peer路由不通crypto iskmp key没有设置或者不一致isakmp的策略（IKE策略）不匹配IPSEC第二阶段协商不起来的常见原因:IPSEC加密流不对称Ipsec协商参数不一致2．IPSEC ipsec site to site需要注意的问题ipsec会话有默认的时间限制，到默认的时间后会话会失效重新建立，当两端设备类型不一致时，两边的会话的默认到期时间由于不一致将会导致问题，这个参数不影响IPSEC VPN 的建立，但是当一边到期后，另外一边ipsec session保留在那里，而发起访问的服务器是从保留session的那一端过来的话，将不会重新建立新的ipsec会话。

asa防火墙ipsec配置cisco思科是全球领先的大品牌，相信很多人也不陌生，那么你知道asa防火墙ipsec 配置吗?下面是店铺整理的一些关于asa防火墙ipsec 配置的相关资料，供你参考。

asa防火墙ipsec 配置的方法：第一步：在外部接口启用IKE协商crypto isakmp enable outside第二步：配置isakmp协商策略isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可isakmp policy 5 authentication pre-share//配置认证方式为预共享密钥isakmp policy 5 encryption des//配置isakmp 策略的加密算法isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法isakmp policy 5 group 2//配置Diffie-Hellman组isakmp policy 5 lifetime 86400//默认的有效时间第三步：配置需要加密的数据流192.168.241.0为本地内网地址，10.10.10.0为对方内网地址access-list ipsec- extended permit ip 192.168.241.0 255.255.255.0 10.10.10.0 255.255.255.0第四步：设置到对方私网地址的路由配置静态路由指向outside接口x.x.x.x为ASA防火墙outside接口地址route outside 10.10.10.0 255.255.255.0 x.x.x.x第五步：配置ipsec的数据转换格式集crypto ipsec transform-set my_trans esp-des esp-none第六步：建立加密静态映射图crypto map _to_test 10 match address ipsec-//配置哪些数据流会启用IPSEC加密crypto map _to_test 10 set peer x.x.x.x//指定对端地址x.x.x.x 为对端公网地址crypto map _to_test 10 set transform-set my_trans//建立加密静态映射图，加密格式引用数据转换格式集my_trans(两边要一致) 第七步：将加密静态映射图应用于外网接口crypto map _to_test interface outside第八步：建立IPSEC 隧道组tunnel-group x.x.x.x type ipsec-l2l//建立IPSEC 隧道组类型tunnel-group x.x.x.x ipsec-attributes//配置IPSEC 隧道组参数pre-shared-key *//配置预共享密钥，两边要一致，否则第一阶段协商不起来二。

高级配置某些设备功能可使用ASA配置命令进行配置。

虽然Firepower设备管理器可以配置很多基于命令的功能，但它并非支持所有功能。

如果需要使用Firepower设备管理器本不支持的一些ASA功能，可以使用Smart CLI或FlexConfig手动配置这些功能。

以下主题详细说明这种类型的高级配置。

•关于Smart CLI和FlexConfig，第1页•Smart CLI和FlexConfig的准则与限制，第9页•配置Smart CLI对象，第10页•配置FlexConfig策略，第11页•FlexConfig策略故障排除，第22页•FlexConfig示例，第23页关于Smart CLI和FlexConfigFirepower威胁防御使用ASA配置命令实现一些功能，但不是所有功能。

没有唯一的一组Firepower威胁防御配置命令。

您可以借助以下方法使用CLI配置功能：•Smart CLI-（首选方法。

）Smart CLI模板为用于特定功能的预定义模板，提供相应功能所需的所有命令，您只需选择变量值即可。

系统会验证您的选择，以促进您正确配置具体功能。

如果您所需的功能有对应的Smart CLI模板，则必须使用此方法。

•FlexConfig-FlexConfig策略是FlexConfig对象的集合。

FlexConfig对象的形式比Smart CLI模板更自由，且系统不执行CLI、变量或数据验证。

您必须了解ASA配置命令，并按照ASA配置指南创建有效的命令序列。

Smart CLI和FlexConfig的意义在于允许您配置不直接通过Firepower设备管理器策略和设置支持的功能。

思科强烈声明，只建议具有较强ASA 背景且自承风险的高级用户使用Smart CLI 和FlexConfig 。

您可配置任何未列入黑名单的命令。

通过Smart CLI 和FlexConfig 启用功能可能会导致配置的其他功能出现意想不到的结果。