ASA防火墙实验(二)

outside上开个环回口:

lo 0 1.1.1.1

inside 上开个环回口:
lo 0 2.2.2.2

允许2.2.2.2 --> 1.1.1.1 能ping 、telnet

ASA配置:

route Outside 1.1.1.1 255.255.255.255 202.100.1.1 1

route Inside 2.2.2.2 255.255.255.255 10.1.1.1 1

access-list out_in  permit tcp any host 2.2.2.2 eq telnet

access-list out_in  permit icmp host 1.1.1.1 host 2.2.2.2

access-group out_in in interface Outside

测试:

Outside.R1#ping 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

Inside.R2#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

测试失败。
通过抓包分析了一下:


发现src是202.100.1.1
顿时明白:

Outside.R1#ping 2.2.2.2 source loopback 0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:

Packet sent with a source address of 1.1.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/25/40 ms

Inside.R2#ping 1.1.1.1 source loopback 0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 2.2.2.2

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/29/52 ms

时间: 2024-11-16 14:04:13

ASA防火墙实验(二)的相关文章

ASA防火墙 (一)

ASA防火墙实验(一) SW1: interface FastEthernet1/0 ! interface FastEthernet1/1 switchport access vlan 2 spanning-tree portfast ! interface FastEthernet1/2 switchport access vlan 3 spanning-tree portfast ! interface FastEthernet1/3 switchport access vlan 4 sp

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

ASA防火墙的应用

实验 实验拓扑图: 实验环境:   在虚拟机上搭建一台2008服务器和一台linux服务器:     实验要求:   一,在ASA防火墙上配置inside,outside,dmz区域,配置ACL实现ICMP流量可以穿越防火墙. 二,通过配置ACL禁止DMZ区域访问outside区域,但可以访问inside区域. 三,将内网的10.0网段通过动态PAT转换成公网outside接口地址访问WEB网页. 四,创建静态PAT将DMZ区域的Apache服务器内网地址映射成公网地址. 五,配置SSH,在in

Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

博文目录一.IPSec 虚拟专用网故障排查二.配置防火墙和路由器实现IPSec 虚拟专用网三.总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网. 由于"Virtual Private Network"(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字&q

ASA防火墙应用技术:配置PAT

如不明白或有疑问请点击此处:ASA防火墙应用技术:配置PAT:理论知识+实验教程

ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名.在这里,我采用思科ASA防火墙实现这个效果. 实验要求: 100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得"163.COM"的域名解析,但无法获得"taobao.com"的域名解析. conf t hostname ASA int e0/0 nameif inside ip add 192.168.1.5 255

ASA防火墙配置案例(一)

实验目标: 1.配置静态路由,实现全网互通. 2.R1能telnet到R3,R4,R3被拒绝ACL规则telnet到R4,R4无法telnet到R1和R3. ASA en conf t int e0/1 nameif inside security-level 100 ip add 10.1.1.10 255.255.255.0 no sh int e0/2 nameif dmz security-level 50 ip address 192.168.1.10 255.255.255.0 no

ASA防火墙基础

实验配置简单的ASA防火墙 实验步骤: 1.允许R1远程R2和ping通R2 首先配置R1,R2,的ip地址,在配置静态路由 ASA防火墙先要初始化一下,在配置ASA的接口的名称和ip地址, 远程访问R2必须设置远程密码和特权密码 在进入到R1上远程访问R2 能远程,但不能ping通,是因为没有开启入站连接 配置允许入站连接, 然后ping下 2.在这里我要在ASA防火墙上配置静态路由实验,我就不用路由,直接在R1和R2上添加loopback 首先在R1和R2上配置loopback地址 ASA配