网络运维 ASA基本配置 实验报告

姓名： 王飛 班级： NTD1711 日期：2018年1月30日实验任务：实验拓补图：

实验需求：DMZ 发布Web 服务器，Client3 可以访问Server2

使用命令show conn detail 查看Conn表 表分别查看ASA 和AR的 的 路由表配置ACL 禁止Client2 访问Server3

思

路及实验步骤

一、配置设备IP及端口IP。

路由IP：interface GigabitEthernet0/0/0ip address 192.168.10.1 255.255.255.0 #interface GigabitEthernet0/0/1ip address 10.10.1.254 255.255.255.0 #interface GigabitEthernet0/0/2ip address 20.20.1.254 255.255.255.0 #

防火墙IP：

interface GigabitEthernet0shutdownnameif insidesecurity-level 100ip address 192.168.10.254 255.255.255.0 !interface GigabitEthernet1shutdownnameif DMZsecurity-level 50ip address 192.168.30.254 255.255.255.0 !interface GigabitEthernet2shutdownnameif outsidesecurity-level 0ip address 192.168.50.254 255.255.255.0 !路由与交换机之间通信需要使用路由功能，我使用静态路由路由器：ip route-static 10.10.1.0 255.255.255.0 192.168.10.254ip route-static 20.20.1.0 255.255.255.0 192.168.10.254防火墙：route inside 0.0.0.0 0.0.0.0 192.168.10.1 1验证内网联通状态：内网可以PING通。二、配置DNZ区域和外部区域验证显示链接完成三、验证防火墙作用首先内网访问外网服务器：

访问成功

外网访问内网：显示失败。防火墙作用成功应用验证DMZ区域的作用首先用内网链接服务器再用外网访问服务器内网获取成功外网获取失败没有配置相关协议。

三、配置DMZ区域协议

抓取所有tcp 主机 访问192.168.30.66 端口号为80的条目全部通过然后将其应用在outside端口上结果验证：

访问成功。

四、禁止Client2 访问Server3client2的ip地址为192.168.30.1server3的IP地址为192.168.50.66想要做到禁止访问server3的HTTP服务我有以下几个数据可以抓取并应用：1、http服务端口号2、client2的ip和server3的IP下面进行配置：我抓取了tcp链接的源192.168.30.1访问192.168.50.66 的所有端口号为80的数据然后应用到了DMZ端口。这个配置主要针对内部端口做的配置，所以数据包不会发向外网进行验证：实验成功。

结果验证：

验证配置成功。

流量抓取功能是个非常强大的工具，它可以抓取各种流量的协议、ip；并且对他们进行约束，让它们按照我们的想法进行运作。这是一个非常值得学习的功能。

问题及分析：

1、模拟器不稳定。

2、实验很简单、但是需要有清晰的思路。3、防火墙acl应用简单，想要做到一个目的可以有很多种方法，比如上面说的，禁止访问server3的HTTP服务：我可以抓取服务器的IP，也可以抓取客户端的IP、也可以抓取端口号、还可以抓取协议TCP、可以应用到入端口、也可以应用到出端口都可以达到自己想要的目的。