環境說明:
在真實案例中,其內部網段均為真實ip,記錄在網站上改採虛擬ip記錄
客戶內部共有三個Class C 網段
網段一:192.168.11.0/24
網段二:192.168.12.0/24
網段三:192.168.13.0/24
ISP業者給對外路由IP為:192.168.1.10/24 Default GW:192.168.1.1
Cisco ASA 5505 為透通模式,為了控管內部機器上網用,不作NAT用
操作過程:
ASA 5505改透通模式:
ciscoasa# conf t
ciscoasa(config)# firewall transparent
給實體的網路卡分配Vlan ID
ciscoasa(config)# interface Ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface Ethernet 0/1(也可以多定義其他Port數)
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
幫VLAN 命名並建立一個橋接虛擬群組
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# bridge-group 1
給Brige 網卡一個ip位置,為了方便管理,由於ISP業者無法多給一組ip,因此採用另一組網段的虛擬IP
ciscoasa(config-if)# interface bvi 1
ciscoasa(config-if)# ip address 172.16.0.253
啟動 ASA 的HTTP服務及定義哪些ip可以管理ASA,在這邊是讓所有的機器都可以管
ciscoasa(config-if)# http server enable
ciscoasa(config)# http 0.0.0.0 0.0.0.0 inside
定義讓3560G VLAN1的內部網段的asdme管理軟體,可以存取到asa的路由表
ciscoasa(config)# route inside 192.168.11.0 255.255.255.0 172.16.0.254
ciscoasa(config)# route inside 192.168.12.0 255.255.255.0 172.16.0.254
ciscoasa(config)# route inside 192.168.13.0 255.255.255.0 172.16.0.254
定義3560G VLAN2 的第48 Port,可以存取到asa設備路由表
ciscoasa(config)# route inside 172.16.0.0 255.255.255.0 172.16.0.254
定義預設對外的路由表
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 192.168.1.1
寫入設定
ciscoasa(config)#wr
Cisco 3560G 部分:
首先要建立兩個VLAN,一個WAN(對外用),一個LAN(Default),但系統原先就有一個了,所以,只要在建立一個就可以了
Switch# configure terminalSwitch(config)# vlan 2
Switch(config-vlan)# name wan
定義第48Port為Vlan 2
Switch(config)#interface gigaethernet 0/48
Switch(config-if)#switchpoint mode access vlan 2
Switch(config-if)#end
定義VLAN 2 的主要及次要 IP
Switch# conf t
Switch(config)# interface vlan 2
Switch(config-if)# ip address 192.168.1.10 255.255.255.0(ISP業者提供的IP)
Switch(config-if)# ip address 172.16.0.254 255.255.255.0 secondary(為了跟asa同網段管理用ip)
定義VLAN 1 的 主要 IP 及次要的IP
Switch# conf t
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.11.254 255.255.255.0
Switch(config-if)# ip address 192.168.12.254 255.255.255.0 secondary
Switch(config-if)# ip address 192.168.13.254 255.255.255.0 secondary
定義預設對外的路由
Switch(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1(ISP業者提供的GW)
啟動路由表,讓兩個VLAN可以通
Switch(config)#ip routing
寫入設定
Switch(config)#wr
測試情況,
Client端的用戶IP : 192.168.11.1 Ping 192.168.11~13.254(三個網段的Gateway),狀況OK
Client端的用戶IP : 192.168.11.1 Ping 192.168.1.10(Cisco 3560的48 Port[wan]),狀況OK
Switch(config)#wr
測試情況,
Client端的用戶IP : 192.168.11.1 Ping 192.168.11~13.254(三個網段的Gateway),狀況OK
Client端的用戶IP : 192.168.11.1 Ping 192.168.1.10(Cisco 3560的48 Port[wan]),狀況OK
Client端的用戶IP : 192.168.11.1 Ping 172.16.0.254(Cisco 3560的48 Port[wan],第二組IP),狀況OK
Client端的用戶IP : 192.168.11.1 Ping 172.16.0.253(ASA的 0/1 Port[inside],asa的管理IP),狀況OK
Client端的用戶IP : 192.168.11.1 Ping 172.16.0.253(ASA的 0/1 Port[inside],asa的管理IP),狀況OK
您好:請問能協助到台北市客戶瑞處理CISCO 3560G設定問題嗎?
回覆刪除sally116682000@gmail.com
請問是什麼樣的設定問題?我回復你mail被退信?
刪除您好,請問有在處理Cisco ASA5505防火牆設定的問題嗎?(親臨或遠端連線操作)
回覆刪除tmc.dust@gmail.com
HP DL380 Gen9 Rack Server in UAE, Proliant 2U Rack Server in UAE, Rack Server in UAE
回覆刪除https://gccgamers.com/hp-dl380.html
HP DL380 Gen9 Rack Server in UAE, Safe Shopping Multiple Payment Options Express Delivery GCC Gamers Moneyback Guarantee.
1634529345672-9