interface Vlan2\x0d\x0a nameif outside --------------------对端口命名外端口 \x0d\x0a security-level 0 --------------------设置端口等级\x0d\x0a ip address X.X.X.X 255.255.255.224 --------------------调试外网地址\x0d\x0a!\x0d\x0ainterface Vlan3\x0d\x0a nameif inside--------------------对端口命名内端口 \x0d\x0a security-level 100 --------------------调试外网地址\x0d\x0a ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级\x0d\x0a!\x0d\x0ainterface Ethernet0/0\x0d\x0a switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定\x0d\x0a!\x0d\x0ainterface Ethernet0/1\x0d\x0a switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定\x0d\x0a!\x0d\x0ainterface Ethernet0/2\x0d\x0a shutdown\x0d\x0a!\x0d\x0ainterface Ethernet0/3\x0d\x0a shutdown\x0d\x0a!\x0d\x0ainterface Ethernet0/4\x0d\x0a shutdown\x0d\x0a!\x0d\x0ainterface Ethernet0/5\x0d\x0a shutdown\x0d\x0a!\x0d\x0ainterface Ethernet0/6\x0d\x0a shutdown\x0d\x0a!\x0d\x0ainterface Ethernet0/7\x0d\x0a shutdown\x0d\x0a!\x0d\x0apasswd 2KFQnbNIdI.2KYOU encrypted\x0d\x0aftp mode passive\x0d\x0adns domain-lookup inside\x0d\x0adns server-group DefaultDNS\x0d\x0a name-server 211.99.129.210\x0d\x0a name-server 202.106.196.115\x0d\x0aaccess-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过)\x0d\x0aaccess-list 102 extended permit ip any any------------------设置ACL列表(允许所有IP全部通过)\x0d\x0apager lines 24\x0d\x0amtu outside 1500 \x0d\x0amtu inside 1500\x0d\x0aicmp unreachable rate-limit 1 burst-size 1\x0d\x0ano asdm history enable\x0d\x0aarp timeout 14400\x0d\x0aglobal (outside) 1 interface ------------------设置NAT地址映射到外网口\x0d\x0anat (inside) 1 0.0.0.0 0.0.0.0------------------NAT地址池(所有地址)\x0d\x0aaccess-group 102 in interface outside ------------------设置ACL列表绑定到外端口\x0d\x0aroute outside 0.0.0.0 0.0.0.0 x.x.x.x 1------------------设置到外网的默认路由\x0d\x0atimeout xlate 3:00:00\x0d\x0atimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02\x0d\x0atimeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00\x0d\x0atimeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00\x0d\x0atimeout uauth 0:05:00 absolute\x0d\x0ano snmp-server location\x0d\x0ano snmp-server contact\x0d\x0asnmp-server enable traps snmp authentication linkup linkdown coldstart\x0d\x0atelnet 0.0.0.0 0.0.0.0 inside------------------设置TELNET所有地址进入\x0d\x0atelnet timeout 5\x0d\x0assh 0.0.0.0 0.0.0.0 outside ------------------设置SSH所有地址进入\x0d\x0assh timeout 30\x0d\x0assh version 2\x0d\x0aconsole timeout 0 \x0d\x0a!\x0d\x0adhcpd address 192.168.1.100-192.168.1.199 inside ------------------设置DHCP服务器地址池\x0d\x0adhcpd dns 211.99.129.210 202.106.196.115 interface inside ------------------设置DNS服务器到内网端口\x0d\x0adhcpd enable inside------------------设置DHCP应用到内网端口asa 5505 可以实现路由的功能,及访问控制的功能,可以用于设置vpn连接(貌似需要license支持)至于上网控制,可以粗略的实现,比如控制某些地址不能够访问互联网,或者禁止访问某个站点等等。需要结合网络提供商的IP地址及相应的业务端口来实现。 比如禁止用户访问百度,你需要知道百度的对外的IP地址并且禁止80端口。从而实现控制的功能。相对于其他的上网行为控制设备(其他的一下上网行为控制的都提供比较便捷的图形界面,及统计信息)来说,asa显得比较麻烦,但真的要使用其进行控制的话,做的还是相对比较精细的。说到保存配置,其实cisco的一些命令全是文本形式的内容,只要将其显示出来,存一份文本即可。如果出现问题的话,可以直接将配置刷进设备里面。方法 在前导符为#的任意视图输入show run 或者show start 回车,摁空格将内容显示完整,就可以将设备的当前配置进行文本备份。ciscoasa#show runasdm 没怎么用过,具体的就是通过鼠标点击来实现自动生成配置等等。差别不是很大,不过命令行相对简洁一些。
