实验目标:ASA 5545防火墙一端作为外网入口,一端连接3750交换机。由于办公设备比较少,交换机3750作为核心交换机,没有再接其他交换机了。
为了做实验,在没有外部ISP外网的情况下,使用现有办公网地址192.168.1.71作为5545防火墙的外网IP,外网网关是192.168.1.1
在核心交换机3750上创建两个vlan 50和vlan 60 地址分别是192.168.50.0 和192.168.60.0
防火墙与核心交换机直连,防火墙端配置IP地址为11.0.0.1,核心交换机端配置ip地址为11.0.0.2
配置完毕后,笔记本配置192.168.50.10IP地址后,可以上外网。
一、在核心交换机上进行配置
1、在三层交换创建vlan50 vlan60 。设置相应的配置:
Vlan50
Vlan60
为每个vlan配置主机的网关:
Switch(config)#vlan 50
Switch(config-vlan)#inter vlan 50
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan50, changed state to down
Switch(config-if)#ip address 192.168.50.254 255.255.255.0
Switch(config-if)#ex
Switch(config)#vlan 60
Switch(config-vlan)#inter vlan 60
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan60, changed state to down
Switch(config-if)#ip address 192.168.60.254 255.255.255.0
Switch(config-if)#ex
Switch(config)#interface Gi1/0/2
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/3
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/4
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/5
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex
Switch(config)#ex
或者批量配置
Switch(config-if)#interface range Gi1/0/2-6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex
Switch(config-if)#interface range Gi1/0/7-12
Switch(config-if)#switchport access vlan 60
Switch(config-if)#ex
为每个vlan配置dhcp:(命令可直接复制)
Switch#conf
Switch#configure t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip dhcp pool vlan50
Switch(dhcp-config)#network 192.168.50.0 255.255.255.0
Switch(dhcp-config)#default-route 192.168.50.254
Switch(dhcp-config)#ex
2、配置核心交换机ip地址
Switch(config)#interface Gi1/0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 11.0.0.2 255.255.255.0
Switch(config-if)#ex
如果敲击命令时提示说你的命令有错误,^就是你错误的地方
配IP地址时,如果不是你的命令打错了,可能是因为你在二层口上配地址,要先起三层,
先执行no switchport
3、先在核心交换机配置一条默认路由,将往外网的数据丢给防火墙或者边界路由。注意:默认路由一台设备只能向一个方向,不能配两个方向的默认路由,不然会丢包。
Switch#conf
Switch#configure t
Switch(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.1
Switch(config)#
4、最后开启路由功能:ip routing (千万不要忘记,不然无法通信)
5、保存配置write 或者write memory 或者 copy running-config startup-config
二、防火墙ASA5545端配置
1、配置外网口IP地址
ciscoasa# conf
ciscoasa# configure t
ciscoasa(config)# int
ciscoasa(config)# interface GigabitEthernet0/0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
ciscoasa(config-if)# ip address 192.168.1.71 255.255.255.0
2、配置内网口地址
ciscoasa(config-if)# interface GigabitEthernet0/1
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
ciscoasa(config-if)# ip address 11.0.0.1 255.255.255.0
3、在ASA1上做动态PAT,使内网主机可以利用外网口上网
object network outside_obj_192.168.1.71
subnet 192.168.1.71 255.255.255.255
object network Inside-obj_192.168.50.0
subnet 192.168.50.0 255.255.255.0
nat (inside,outside) dynamic interface
Cisco ASA 5500 8.3 以后版本NAT配置命令发生了变更,可以参考这个文章http://www.zhanggy.com/blog/872/
4、配置ACL来允许外部网络访问内部网络
ASA防火墙在默认情况下,允许内网区域访问外部区域,而外部区域无法访问内部区域,若想访问,需要做一条ACL来匹配。
ciscoasa(config)# access-list test permit ip any any
应用在外接口的in方向(即外部向内部)
ciscoasa(config)# access-group test in int outside
5、向运营商路由器指一条默认,向内网指一条静态路由
route outside 0 0 192.168.1.1
内网数据包都有外网口丢给192.168.1.1外网IP的网关或路由
route inside 192.168.50.0 255.255.255.0 11.0.0.2
外网数据包访问192.168.50.0时都丢给11.0.0.2 核心交换机IP地址
6、保存配置write 或者write memory 或者 copy running-config startup-config
最后测试,用笔记本插到核心交换机3端口上,笔记本配置IP为192.168.50.10,网关是192.168.50.254,dns是8.8.8.8,最后上网成功。
另外,50和60网段可以通信,50段ip可以ping 通192.168.60.254 ,60段ip可以ping 通192.168.50.254 ,50段ip和60段ip可以通信但不能互ping
常用查询配置命令:
show route
show int
show nat
show access-list
show running-config
来源:CSDN
作者:qq_37139220
链接:https://blog.csdn.net/qq_37139220/article/details/103574587