ASA 5545防火墙及思科3750交换机配置办公网络

实验目标：ASA 5545防火墙一端作为外网入口，一端连接3750交换机。由于办公设备比较少，交换机3750作为核心交换机，没有再接其他交换机了。
为了做实验，在没有外部ISP外网的情况下，使用现有办公网地址192.168.1.71作为5545防火墙的外网IP，外网网关是192.168.1.1
在核心交换机3750上创建两个vlan 50和vlan 60 地址分别是192.168.50.0 和192.168.60.0
防火墙与核心交换机直连，防火墙端配置IP地址为11.0.0.1，核心交换机端配置ip地址为11.0.0.2
配置完毕后，笔记本配置192.168.50.10IP地址后，可以上外网。

一、在核心交换机上进行配置
1、在三层交换创建vlan50 vlan60 。设置相应的配置：
Vlan50
Vlan60

为每个vlan配置主机的网关：
Switch(config)#vlan 50
Switch(config-vlan)#inter vlan 50
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan50, changed state to down
Switch(config-if)#ip address 192.168.50.254 255.255.255.0
Switch(config-if)#ex

Switch(config)#vlan 60
Switch(config-vlan)#inter vlan 60
Switch(config-if)#
*Mar 1 00:40:51.100: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan60, changed state to down
Switch(config-if)#ip address 192.168.60.254 255.255.255.0
Switch(config-if)#ex

Switch(config)#interface Gi1/0/2
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/3
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/4
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/5
Switch(config-if)#switchport access vlan 50
Switch(config-if)#interface Gi1/0/6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex
Switch(config)#ex
或者批量配置

Switch(config-if)#interface range Gi1/0/2-6
Switch(config-if)#switchport access vlan 50
Switch(config-if)#ex

Switch(config-if)#interface range Gi1/0/7-12
Switch(config-if)#switchport access vlan 60
Switch(config-if)#ex
为每个vlan配置dhcp：(命令可直接复制)
Switch#conf
Switch#configure t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip dhcp pool vlan50
Switch(dhcp-config)#network 192.168.50.0 255.255.255.0
Switch(dhcp-config)#default-route 192.168.50.254
Switch(dhcp-config)#ex

2、配置核心交换机ip地址
Switch(config)#interface Gi1/0/1
Switch(config-if)#no switchport

Switch(config-if)#ip address 11.0.0.2 255.255.255.0
Switch(config-if)#ex
如果敲击命令时提示说你的命令有错误，^就是你错误的地方

配IP地址时，如果不是你的命令打错了，可能是因为你在二层口上配地址，要先起三层，
先执行no switchport

3、先在核心交换机配置一条默认路由，将往外网的数据丢给防火墙或者边界路由。注意：默认路由一台设备只能向一个方向，不能配两个方向的默认路由，不然会丢包。
Switch#conf
Switch#configure t
Switch(config)#ip route 0.0.0.0 0.0.0.0 11.0.0.1
Switch(config)#
4、最后开启路由功能：ip routing (千万不要忘记，不然无法通信)
5、保存配置write 或者write memory 或者 copy running-config startup-config
二、防火墙ASA5545端配置
1、配置外网口IP地址

ciscoasa# conf
ciscoasa# configure t
ciscoasa(config)# int
ciscoasa(config)# interface GigabitEthernet0/0
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
ciscoasa(config-if)# ip address 192.168.1.71 255.255.255.0

2、配置内网口地址
ciscoasa(config-if)# interface GigabitEthernet0/1
ciscoasa(config-if)# no sh
ciscoasa(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
ciscoasa(config-if)# ip address 11.0.0.1 255.255.255.0

3、在ASA1上做动态PAT，使内网主机可以利用外网口上网
object network outside_obj_192.168.1.71
subnet 192.168.1.71 255.255.255.255
object network Inside-obj_192.168.50.0
subnet 192.168.50.0 255.255.255.0
nat (inside,outside) dynamic interface
Cisco ASA 5500 8.3 以后版本NAT配置命令发生了变更，可以参考这个文章http://www.zhanggy.com/blog/872/

4、配置ACL来允许外部网络访问内部网络
ASA防火墙在默认情况下，允许内网区域访问外部区域，而外部区域无法访问内部区域，若想访问，需要做一条ACL来匹配。
ciscoasa(config)# access-list test permit ip any any
应用在外接口的in方向（即外部向内部）
ciscoasa(config)# access-group test in int outside

5、向运营商路由器指一条默认，向内网指一条静态路由
route outside 0 0 192.168.1.1
内网数据包都有外网口丢给192.168.1.1外网IP的网关或路由
route inside 192.168.50.0 255.255.255.0 11.0.0.2
外网数据包访问192.168.50.0时都丢给11.0.0.2 核心交换机IP地址

6、保存配置write 或者write memory 或者 copy running-config startup-config
最后测试，用笔记本插到核心交换机3端口上，笔记本配置IP为192.168.50.10，网关是192.168.50.254，dns是8.8.8.8，最后上网成功。
另外，50和60网段可以通信，50段ip可以ping 通192.168.60.254 ，60段ip可以ping 通192.168.50.254 ，50段ip和60段ip可以通信但不能互ping

常用查询配置命令：
show route
show int
show nat
show access-list
show running-config

如果后期需要增加一台接入交换机，与核心交换机做trunk，将接入交换机上端口分配给VLAN 50
配置命令如下：
1、在接入交换机上执行：
创建vlan 50 并分配一个ip地址，后面可以使用这个ip地址ssh到这台接入交换机上进行管理
vlan 50
interface Vlan2
ip address 192.168.1.254 255.255.255.0
启用ssh
ip classless
ip http server
ip http secure-server
!

line con 0
line vty 0 4
transport input ssh
line vty 5 15

配置ssh登录用户口令及enable口令
aaa new-model
enable password abc@123
!
username test password 0 test

将1-46口分配给vlan 50
interface GigabitEthernet1/0/1
switchport access vlan 50
switchport mode access
spanning-tree portfast

…
interface GigabitEthernet1/0/46
switchport access vlan 50
switchport mode access
spanning-tree portfast

将47口分配给trunk使用
interface GigabitEthernet1/0/47
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2
switchport mode trunk

2、在核心交换机上配置trunk，将47口分配给trunk
interface GigabitEthernet1/0/47
switchport access vlan 50
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 50
switchport mode trunk

ASA 5545防火墙及思科3750交换机配置办公网络相关推荐

思科nat配置实例_思科3750交换机配置DHCP服务器实例网络环境
思科3750交换机配置DHCP服务器实例网络环境: 一台3750交换机,划分三个vlan, vlan2 为服务器所在网络,命名为server.IP地址段为192.168.2.0,子网掩码:255.25 ...
Cisco服务器怎么安装系统,思科CISCO 3750交换机配置导出导入及IOS升级步骤
交换机与计算机有相似点是,它也有内存.操作系统.配置和用户界面,Cisco交换机中,操作系统叫做互连网操作系统(Internet Operating System)或IOS.交换机的IOS升级主要是闪 ...
转：思科3750交换机堆叠技术配置向导
思科3750交换机堆叠技术配置向导思科StackWise技术: 思科StackWise技术可以为统一地利用一组交换机的功能提供一种创新的方法.单个交换机可以智能化地结合到一起,创建一个单一的交换单元 ...
思科3750交换机堆叠技术配置向导
思科3750交换机堆叠技术配置向导思科StackWise技术: 思科StackWise技术可以为统一地利用一组交换机的功能提供一种创新的方法.单个交换机可以智能化地结合到一起,创建一个单一的交换单元 ...
思科N9K交换机配置QOS
需求:思科9504交换机配置QOS,要求按照应用的重要性进行分类,根据分类配置优先级队列,每个分类还要进行限速. 思路: 1.使用ACL配置队列,TOP_1 优先级最高,TOP_7优先级最低. 2. ...
计算机与交换机基本网络设置方法,交换机配置方法网络交换机的详细配置方法(图文教程)...
在"傻瓜"型交换机肆意的今天,如何配置交换机对很多人来说都是一门高深的学问,甚至在被问及交换机如何配置时,有人会反问道:交换机还需要配置的么? 确实,交换机的配置过程复杂,而且根据 ...
cisco（思科）交换机配置篇【二】
上一篇给大家讲到了cisco交换机的基本操作命令,趁端午节放假前,把cisco交换机的简单配置分享一下并预祝一下各位"端午节快乐"!Ok,要进行交换机的配置,首先就得进入交换机的全 ...
1-5（思科）交换机配置实战需要注意的地方
配置VLAN:(针对路由器或者有路由器功能的三层交换机,做配置时需要,二层交换机不需要) 配置Vlan中继链路:vlan trunk时,需要先对trunk的链路协议指定,一般默认选择dot1q. 语法 ...
【收藏】思科路由器/交换机配置命令大全
(1)模式转换命令用户模式一-特权模式,使用命令"enable" 特权模式一-全局配置模式,使用命令"ontfg" 全局配置模式--接口模式,使用命令&quo ...

ASA 5545防火墙及思科3750交换机配置办公网络

ASA 5545防火墙及思科3750交换机配置办公网络相关推荐

最新文章

热门文章