ASA5520防火墙的配置,急!!!
因为之前从没接触过这个设备.现在又要做得这么复杂.客户还要我说出standby的工作原理,时间不多.请各位大哥大姐帮忙看看如何做.不胜感谢!!
网络结构如下:
internet分别连接两台ASA5520,两台ASA5520做热备份(A/S模式),用一根心路线相连,ASA5520上要求划分为inside和outside及DMZ三个区域.DMZ区和inside区都分别接3750三层交换.DMZ区放WEB等服务器.inside放数据库等其他应用服务器.外网主要访问DMZ区的服务器.再由DMZ区的服务器去访问内网(inside)的相关应用服务器
问题1:ASA5520还可以扩展端口吗?只有四个口
问题2:做完静态映射还要加路由吗?
问题3:静态地址映射是不是就是地址转换?
问题4:做热备时:standby是如何工作的。我在outside接口上配置了两个internet地址。与此接口相连的路由器口又要如何配置呢。如:
interface gigabitEthernet 0/0
nameif outside
security-level 0
ip address xxxxxxxx 255.255.255.X standby xxxxxxxx (备用地址) //两个InternetIP standby如何工作的?
no shutdown
请问以下策略如何写:
1.DMZ区访问Inside里的服务器(D-->I) 不做地址转换 策略应用于dmz接口上
route 目标(Inside) 网关
access-list acl-DMZ permit tcp DMZ区服务器IP 255.255.255.0 host 内网区服务器IP eq 内网服务器端口
access-group acl-DMZ in interface dmz
2.DMZ区的服务器访问outside(D-->O) 用静态地址映射 策略应用于outside接口上 要加路由吗?
static (dmz,outside) 外网IP dmz区服务器IP netmask 255.255.255.255 0 0
access-list acl_dtoout permit tcp DMZ区服务器IP 255.255.255.0 any eq 80
access-list acl_dtoout permit tcp DMZ区服务器IP 255.255.255.0 any eq 53
access-list acl_dtoout permit udp DMZ区服务器IP 255.255.255.0 any eq 53
access-group acl_dtoout in interface outside
3.内网访问DMZ区服务器(I---->D) 用静态地址映射 策略应用于DMZ接口上 要加路由吗?
static (inside,dmz) DMZ子网IP 内网IP netmask 255.255.255.255 0 0
access-list acl_itodmz extended permit tcp any host DMZ子网IP eq 80
access-list acl_itodmz extended permit tcp any host DMZ子网IP eq 20
access-list acl_itodmz extended permit tcp any host DMZ子网IP eq 21
access-list acl_itodmz extended permit tcp any host DMZ子网IP eq 22
access-list acl_itodmz extended permit tcp any host DMZ子网IP eq 23
access-group acl_itodmz in interface dmz
问题5:客户说不要做telent要用ssh。这个怎么做?
问题6:ipsecVPN又要怎么做?
如能留下联系电话更好或是QQ,MSN的也可!明天下班前要把详细配置做出来.不胜感激
[解决办法]
问题太多了
[解决办法]
好复杂,路过。。。
[解决办法]
你咋就能找到这么好的工作呢?
[解决办法]
最简单的方法是进web
[解决办法]
问题1:ASA5520无法扩展端口,但可以通过划分子端口接入多个子网。
问题2:做完静态映射还要加路由。如:route add 192.168.1.0 255.255.255.0 192.168.1.1 1 指向内网的网关。
问题3:静态地址映射是就是地址转换。
[解决办法]
前几个问题你基本就解决了,
ssh的命令。
你看一下ipsec的配置,
