前提：随着网络发展，网络安全成为当前重要的课题，越来越多的公司会选择将防火墙作为公司出口设备，相比于路由器，防火墙除了具有转发路由的功能外，还可以对内部、外部的流量进行过滤，从而进一步加强公司网络的安全性。

 

实验拓扑：

 

实验目的：如图，公司内网划分为两个vlan，vlan10和vlan 20，将三层交换机M1作为网关，将思科防火墙ASA1作为公司的出口设备，R1为运营商路由器，在R1环回口1.1.1.1/32模拟外网。

1. 在ASA1上做PAT，使得内网主机可以上外网

2. 在ASA1上做配置，使得R1可以远程管理内网交换机SW1

 

实验步骤：

1。首先进行基本配置

SW1

SW1#conf t

SW1(config)#no ip routing SW1(config)#vlan  10,20

SW1(config-vlan)#int f1/1SW1(config-if)#switchport access vlan 10 SW1(config-if)#int f1/2SW1(config-if)#switchport access vlan 20SW1(config-if)#int f1/3SW1(config-if)#switchport mode trunk

 

M1

M1#conf t

M1(config)#ip routingM1(config)#vlan 10,20

M1(config-vlan)#int f1/1M1(config-if)#no shM1(config-if)#switchport mode trunk M1(config-if)#ex

M1(config)#int vlan 10M1(config-if)#ip add 192.168.10.1 255.255.255.0M1(config-if)#no sh

M1(config-if)#int vlan 20

M1(config-if)#ip add 192.168.20.1 255.255.255.0 M1(config-if)#no shM1(config-if)#ex

M1(config)#int f0/0

M1(config-if)#ip add 11.0.0.1 255.255.255.0M1(config-if)#no shM1(config-if)#ex

M1(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.2               //向出口防火墙指一条默认

 

ASA1

注意：再给ASA防火墙配置接口时，要指定内部接口inside和外部接口outside。

ciscoasa> en 

Password:     ciscoasa# ciscoasa# conf tciscoasa(config)# int e0/0

ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# ip add 11.0.0.2 255.255.255.0ciscoasa(config-if)# no sh

ciscoasa(config-if)# int e0/1

ciscoasa(config-if)# nameif outside.

ciscoasa(config-if)# ip add 12.0.0.2 255.255.255.0ciscoasa(config-if)# no shciscoasa(config-if)# ex

向运营商路由器指一条默认，向内网指一条静态路由，这里和路由器配置稍有不同   

ciscoasa(config)# route outside 0 0 12.0.0.1

ciscoasa(config)# route inside 192.168.0.0 255.255.0.0 11.0.0.1

 

R1

R1(config)#int f0/0

R1(config-if)#ip add 12.0.0.1 255.255.255.0R1(config-if)#no sh

 

配置环回口l0模拟外网

R1(config-if)#int l0R1(config-if)#ip add R1(config-if)#ip add 1.1.1.1 255.255.255.255R1(config-if)#no shR1(config-if)#ex

 

2.ASA防火墙在默认情况下，允许内网区域访问外部区域，而外部区域无法访问内部区域，若想访问，需要做一条ACL来匹配。

ASA1

ciscoasa(config)# access-list test permit ip any any 

 

应用在外接口的in方向（即外部向内部）              

ciscoasa(config)# access-group test in int outside

 

在ASA1上做动态PAT，使内网主机利用外网口上网

ASA1

ciscoasa(config)# nat (inside) 1 192.168.10.0 255.255.255.0

ciscoasa(config)# nat (inside) 1 192.168.20.0 255.255.255.0

 

利用外网口e0/1上网

ciscoasa(config)# global (outside) 1 int

 

可以在C1上测试下能否访问R1了

通了。

 

因为运营商路由器R1不可能知晓公司内部私网地址，下面要使R1远程管理SW1，必须在ASA1上做PAT静态端口映射，将SW1的telnet端口映射到e0/1的telnet端口。

首先配置管理vlan1，开启远程登录

 

SW1

SW1(config)#int vlan 1

SW1(config-if)#ip add 192.168.8.8 255.255.255.0SW1(config-if)#no shSW1(config-if)#ex

SW1(config)#line vty 0 4SW1(config-line)#password abcSW1(config-line)#login

 

指定默认网关

SW1(config)#ip default-gateway 192.168.8.1

M1

M1(config)#int vlan 1

M1(config-if)#ip add 192.168.8.1 255.255.255.0M1(config-if)#no sh

 

在ASA1上做端口映射

ASA1

ciscoasa(config)# static (inside,outside) tcp int telnet192.168.8.8 telnet netmask

                        255.255.255.255  

 

需要在ACL内加一条，允许R1访问e0/1的23端口                    

ciscoasa(config)# access-list test permit tcp 12.0.0.1 255.255.255.255 12.0.0.2 255.255.255.255 eq 23

 

在R1上测试结果

R1

R1#telnet 12.0.0.2

Trying 12.0.0.2 ... Open

User Access Verification

Password:

SW1>SW1>SW1>

 

已经成功远程登录SW1了，实验结束