SEC_ASA 第一天作业

拓扑：
实验需求：

注意：在开始作业之前必须先读"前言"，以免踩坑！！！（☞敢点我试试）

1. 按照拓扑图配置VLAN连接。

   注意：ASA防火墙的 Gi0/1口需要起子接口！

   提示：ASA防火墙起完子接口一定要对物理口 no shutdown；交换机 E0/1接口需要先改变端口封装（Switch(config-if)#switchport trunk encapsulation dot1q）才能起 Trunk，还可以用命令 switchport trunk allowed vlan （VLAN ID） 来限制 Trunk传输 VLAN Tag标记的流量。

   设备配置：

   ##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

   ASA

   !

   interface GigabitEthernet0/1

   no nameif

   no security-level

   no ip address

   !

   interface GigabitEthernet0/1.3

   vlan 3

   nameif Inside

   security-level 100

   ip address 10.1.1.10 255.255.255.0

   !

   interface GigabitEthernet0/1.4

   vlan 4

   nameif MDZ

   security-level 50

   ip address 192.168.1.10 255.255.255.0

   !

   SW

   interface Ethernet0/1

   switchport trunk allowed vlan 1,3,4

   switchport trunk encapsulation dot1q

   switchport mode trunk

   spanning-tree portfast trunk

   测试现象：

   ##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##
   

2. Inside路由器起环回口 loopback0，IP：1.1.1.1/32，ASA和 Inside路由器之间做静态路由（精确匹配），使得 ASA 可以 ping通 1.1.1.1。
   

提示：静态路由精确匹配举例：ip route 192.168.1.1 255.255.255.255 10.1.1.10

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

ASAFW(config)# route inside 1.1.1.1 255.255.255.255 10.1.1.1

Inside(config)#int lo 0

Inside(config-if)#ip address 1.1.1.1 255.255.255.255

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

3. DMZ路由器起环回口 loopback0，IP：2.2.2.2/32，ASA和 DMZ路由器之间起 OSPF动态路由协议（OSPF1 AREA0 通告精确地址），使得 ASA 可以 ping通 2.2.2.2。
   

提示：OSPF中通告精确地址举例（路由器）：network 192.168.1.1 0.0.0.0 area 0

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

ASAFW(config)# router ospf 1

ASAFW(config-router)# network 192.168.1.0 255.255.255.0 area 0

DMZ(config)#int lo 0

DMZ(config-if)#ip address 2.2.2.2 255.255.255.255

DMZ(config-if)#exit

DMZ(config)#router ospf 1

DMZ(config-router)#network 192.168.1.0 0.0.0.255 area 0

DMZ(config-router)#network 2.2.2.2 0.0.0.0 area 0

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

4. Outside路由器起环回口 loopback0，IP：3.3.3.3/32，ASA和 Outside路由器之间做默认路由，使得 ASA 可以 ping通 3.3.3.3。
   

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

ASAFW(config)# route Outside 0.0.0.0 0.0.0.0 202.100.1.1

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

5. Inside路由器分别 Telnet DMZ路由和 Outside路由；DMZ路由器 Telnet Outside路由器（路由方式为静态路由精确匹配，Outside路由器有默认路由可不用配置）。
   

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

DMZ、Oustside设备配置

username admin privilege 15 password 0 cisco

line vty 0 4

login local

transport input all

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

6. 配置并登录 ASDM（Win7上 IP地址已经配好，不用再配置）。
   

设备配置：

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

ASA

username admin password cisco pbkdf2 privilege 15

interface Management0/0

management-only

nameif MGMT

security-level 100

ip address 10.10.10.10 255.255.255.0

no shutdown

http server enable

http 10.10.10.0 255.255.255.0 MGMT

asdm image boot:/asdm-77170.bin

测试现象：

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##