ASA第二天讲解.pptx

CCNP Security V4 ASA第二天：基本配置管理 第二天课程介绍 第一部分：基本设备管理 第二部分：基本排错工具介绍 第三部分：配置访问管理 第四部分：访问控制列表 第一部分 基本设备管理 配置主机名和域名 配置主机名： hostname ASAFW 配置域名： dns server-group DefaultDNS domain-name 配置Enable 密码 配置Enable 密码： enable password cisco 配置时间 配置时区： clock timezone GMT +8 配置时间： clock set 10:00:00 aug 8 2014 配置NTP同步 配置NTP： ntp authenticate ntp authentication-key 1 md5 cisco ntp trust-key 1 ntp server key 1 source outside NTP 端口号： UDP 123 NTP 测试 NTP 测试： show clock detail show ntp status 配置ASA启动文件 配置ASA启动OS: boot system disk0:/asa842-k8.bin 配置ASDM文件： asdm image disk0:/asdm-645-206.bin 配置ASA启动配置文件： boot config disk0:/boot.cfg 第二部分 日志系统介绍 日志信息格式 激活日志功能 激活ASA日志功能： logging enable 日志的不同输出目的 把严重级别为“Information ”的日志输出到本地缓存: logging buffered informational 把严重级别为“Information ”的日志输出到日志服务器: logging trap informational 把严重级别为“debugging ”的日志输出到ASDM: logging asdm debugging 在ASDM上查看日志 Event-list 事件过滤技术 创建Event‐List: logging list Test level critical logging list Test level informational class ospf 使用Event‐List技术对输出到console口的日志进行过滤: logging console Test 定义日志服务器 定义日志服务器: logging host Inside 00 第三部分 基本排错工具介绍 内容介绍 ping 的介绍和使用 traceroute 的介绍和使用 使用packet-tracer 分别对 Inbound和 Outbound流量进行测试 Cisco推荐排错流程 ping的测试 1. ASA使用traceroute 和 ping来进行连通性测试。 2. 注意：默认穿越ASA的ping流量并没有被执行状态化监控，返回的ICMP echo reply 不会被允许 3. ASA使用ping来确认直连的连通性 ICMP的ping TCP的ping traceroute的测试 ASA# traceroute Packet-tracer的测试 1.Packet Tracer 模拟一个数据包穿越ASA的数据通道，并且跟踪ASA对这个数据包的整个处理过程 对丢包进行debug，显示这个包具体被哪一个策略所拒绝 提供可能丢包的原因 可以再ASDM和CLI中工作 Packet-tracer实例 （Outbound） Packet-tracer实例 （Inbound） 第三部分 配置访问管理 四种远程管理方式 带外网管口 1.可以配置任何一个接口成为专用的管理接口。 2.流量不能穿越管理接口 3. 依然需要运用管理访问策略来允许访问 4.如果需要，最好使用物理管理接口 5.建议需要为这个接口配置最高的安全级别 6.建议使用ACL拒绝所有的穿越流量 配置带外网管口 配置Inside接口为专用带外网管口： interface GigabitEthernet0 nameif inside security-level 100 ip address 0 management-only 注意：Management0/0 接口默认为专用带外网管口 Telnet 网管介绍 启用telnet网管 telnet 55 inside telent 0 0 DMZ (DMZ所有主机都能telnet) 最低安全级别的接口不能支持telnet （例如：outside） 默认密码：cisco （passwd 修改默认密码） 默认enable密码：空 （enable pa