您好,登錄后才能下訂單哦!
要求:
DMZ發(fā)布Web服務(wù)器,Client2可以訪問(wèn)Server3
使用命令show conn detail查看Conn表
分別查看ASA和AR的路由表
配置ACL禁止Client3訪問(wèn)Server2
配置步驟及思路:
一.給客戶(hù)端和服務(wù)器配置ip
server1:
ip: 10.1.1.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):10.1.1.254
Client1:
ip: 10.2.2.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):10.2.2.254
server2:
ip: 192.168.8.100
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.8.254
Client2:
ip: 192.168.8.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.8.254
server3:
ip: 192.168.30.100
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.3.254
Client3:
ip: 192.168.30.1
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.30.254
二.在防火墻上配置區(qū)域
interface g0 進(jìn)入端口
nameif inside 配置接口的名稱(chēng)
ip address 192.168.1.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 100 配置接口的安全級(jí)別(范圍是0-100)
interface g1 進(jìn)入端口
nameif outside 配置接口的名稱(chēng)
ip address 192.168.8.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 0 配置接口的安全級(jí)別(范圍是0-100)
interface g2 進(jìn)入端口
nameif dmz 配置接口的名稱(chēng)
ip address 192.168.30.254 255..255.255.0 配置網(wǎng)關(guān)
security-level 50 配置接口的安全級(jí)別(范圍是0-100)
寫(xiě)一條acl使Client2可以訪問(wèn)Server3
access list 1 permit tcp any host 192.168.30.100 eq 80
access-group 1 in interface outside // 默認(rèn)防火墻的內(nèi)網(wǎng)安全等級(jí)為100 ,外網(wǎng)為0 .等級(jí)低的無(wú)法訪問(wèn)高級(jí)的所以要配置acl允許訪問(wèn)
驗(yàn)證,測(cè)試:
三.配置可以去外網(wǎng)的路由
interface g0/0/0 進(jìn)入端口
ip address 10.1.1.254 255.255.255.0 配置網(wǎng)關(guān)
interface g0/0/1 進(jìn)入端口
ip address 10.2.2.254 255.255.255.0 配置網(wǎng)關(guān)
interface g0/0/2 進(jìn)入端口
ip address 192.168.1.1 255.255.255.0 配置ip
interface g0/0/2屬于192.168.1.0/24網(wǎng)段所以配置一個(gè)192.168.1.0網(wǎng)段的ip
在路由器上配置一條默認(rèn)路由交給下一跳192.168.1.254‘
ip route 0.0.0.0 0.0.0.0 192.168.1.254
在防火墻上配置回包路由交給下一跳192.168.1.1
route inside 10.1.1.0 255.255.255.0 192.168.1.1 要去的網(wǎng)段
route inside 10.2.2.0 255.255.255.0 192.168.1.1 要去的網(wǎng)段
display ip route table 查看路由表
show route 查看asa防火墻
驗(yàn)證,測(cè)試
如下圖可以訪問(wèn)外網(wǎng)ftp
# 接下來(lái)可以查看 conn表
show conn detail
![](https://s1.51cto.com/images/blog/201801/31/9fa884862c16f6d2951f5d7fc5b76d27.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
三.# 最后配置acl使clietn 2不能訪問(wèn)server1
access-list 2(名字) deny tcp any host 192.168.8.100 eq 80
access-group 2(名字) in interface DMAZ //在dmaz端口調(diào)用
測(cè)試:
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。