域名 DNS ASA1(config)# hostname ASA1 ASA1(config)# domain-name java.local ASA1(config)# show running-config dns dns domain-lookup DMZ //dns解析都從DMZ口出去 DNS server-group DefaultDNS name-server 192.168.15.200 //這兩條可直接在全局下敲 dns + .... domain-name java.local 時間 ASA1(config)# clock timezone GMT +8 //設(shè)置時區(qū) +8表示東8區(qū) ASA1(config)# clock set 10:26:00 Jun 10 2016 //設(shè)置時間 ASA1(config)# show clock 10:27:05.239 GMT Fri Jun 10 2016 NTP同步(client) ASA1(config)# show running-config ntp ntp authentication-key 1 md5 cisco ntp authenticate ntp trusted-key 1 ntp server 192.168.12.100 key 1 source DMZ ASA文件系統(tǒng) ASA1(config)# dir /all //虛擬機只能看見asdm disk0:/asa842-k8.bin //boot system 可選的系統(tǒng) disk0:/asdm-731.bin //asdm p_w_picpath asdm鏡像 disk0:/boot.cfg //cfg 啟動配置文件 runningconfig 和start 不可見 ASA1(config)# boot system disk0:/asa842-k8.bin ASA1(config)# asdm p_w_picpath disk0:/asdm-731.bin ASA1(config)# copy running-config disk0:/boot.cfg //將running保存到指定文件 ASA1(config)# boot config disk0:/boot.cfg //指定啟動加載的配置文件
日志系統(tǒng)
在江西等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供網(wǎng)站設(shè)計、網(wǎng)站制作 網(wǎng)站設(shè)計制作按需設(shè)計網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站建設(shè),全網(wǎng)整合營銷推廣,成都外貿(mào)網(wǎng)站建設(shè),江西網(wǎng)站建設(shè)費用合理。
可發(fā)送給:console;ASDM;Monitor;Buffer;Syslog;SNMP Trap;Email;NetFlow
日志的格式及消息等級:
logging默認關(guān)閉 logging enable logging console 7 //表示將等級7(全部信息)發(fā)送到console口 取消加no logging buffered 7 //存入緩存 logging asdm informational //發(fā)給ASDM等級6的日志 ASA1(config)# show running-config logging logging enable logging trap debugging // 發(fā)送指定日志級別(可自定義一個列表) **logging list locketest level information class ospf //定義一個ospf的列表 **logging trap debugging //發(fā)送locketest logging message 503001 level alerts //將來自503001的信息等級設(shè)置為1 no logging message 503001 //禁用日志503001 logging host DMZ 192.168.12.1 //指定出接口日志服務(wù)器(syslogserver)IP地址
排錯工具Packet Tracer
Packet Tracer模擬一個數(shù)據(jù)包穿越ASA的數(shù)據(jù)通道,并跟蹤ASA對該數(shù)據(jù)包的整個處理過程
ASA1(config)# packet-tracer input dmZ icmp 192.168.12.100 8 0 192.168.12.139 Phase: 1 //查看路由 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: in 192.168.12.139 255.255.255.255 identity Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 //查看ip的options字段,防火墻默認不允許帶options的ip包 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: CLUSTER-REDIRECT Subtype: cluster-redirect Result: ALLOW Config: Additional Information: Phase: 6 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: Additional Information: Phase: 7 Type: INSPECT Subtype: np-inspect Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 33, packet dispatched to next module Result: input-interface: DMZ input-status: up input-line-status: up output-interface: NP Identity Ifc output-status: up output-line-status: up Action: allow
抓包
ASA1(config)# capture test interface dmz ASA1(config)# no capture test interface dmz //停止抓包 ASA1(config)# no capture test //刪除包 ASA1(config)# show capture test 23 packets captured 1: 13:34:41.259263 192.168.12.139.514 > 192.168.12.1.514: udp 88 2: 13:34:41.259340 192.168.12.139.514 > 192.168.12.1.514: udp 107 .......................... 23: 13:35:17.952999 192.168.12.139.514 > 192.168.12.1.514: udp 94 23 packets shown
配置帶外網(wǎng)管口
接口下 ASA1(config-if)# security-level 100 //建議設(shè)安全級別最高 ASA1(config-if)# management-only //只用于網(wǎng)管
Telnet網(wǎng)管
啟用Telnet網(wǎng)管 ASA1(config)# telnet 192.168.17.100 255.255.255.255 inside //允許來著inside口的指定ipTelnet ASA1(config)# telnet 0 0 DMZ //允許來自DMZ口的所有Telnet連接 注:不允許接口級別最低的Telnet進入 ASA1(config)# passwd cisco //登錄需要密碼 ASA1(config)# enable password 502 ASA1(config)# username admin password cisco privilege 15 //也可用本地用戶認證 ASA1(config)# aaa authentication telnet console LOCAL //在Telnet登錄應(yīng)用本地登入
SSH網(wǎng)管
ASA1(config)# show running-config dns //先配好域名 dns domain-lookup DMZ DNS server-group DefaultDNS name-server 192.168.12.100 domain-name java.local ASA1(config)# crypto key generate rsa modulus 1024 //為SSH加密會話產(chǎn)生加密密鑰 ASA1(config)# ssh 192.168.17.100 255.255.255.255 inside //允許接入 ASA1(config)# aaa authentication ssh console LOCAL //ssh用aaa的本地認證 ASA1(config)# ssh 0 0 DMZ 注:遠程不能用Telnet,必須用ssh
創(chuàng)建本地管理賬號
ASA1(config)# username admin attributes //設(shè)置名為admin賬戶的屬性 ASA1(config-username)# service-type ? //設(shè)置服務(wù)類型(不設(shè)置的話什么都能用) username mode commands/options: admin User is allowed access to the configuration prompt. //允許進config nas-prompt User is allowed access to the exec prompt. //低權(quán)限 不能進config remote-access User is allowed network access. //只能遠程 aaa authentication enable console LOCAL //這兩句可讓service-type生效 aaa authorization exec LOCAL R3#ssh -l admin 192.168.12.100 //登錄
HTTPS網(wǎng)管
ASA1(config)# http server enable ASA1(config)# http 192.168.12.0 255.255.255.0 DMZ ASA1(config)# aaa authentication http console LOCAL ASA1(config)# username cisco password cisco privilege 15 //權(quán)限必須要15級 只能使用ASDM ASA需要一個服務(wù)器的證書(缺省是ASA自簽名證書——一般會報錯) 客戶認證:任何密碼 AAA的一次性密碼 證書認證+一次性密碼
SNMP
v1/v2c/v3 SNMPV3才有加密認證功能。認證包括MD5 or SHA,加密包括DES or RSA
ASA1(config)# snmp-server group group001 v3 priv //創(chuàng)建組 ASA1(config)# snmp-server user admin group001 v3 auth md5 cisco privde des Cisco //賬號admin 屬于group001組 版本v3 認證md5密碼是Cisco 加密des密碼Cisco ASA1(config)# snmp-server host dmZ 192.168.12.1 version 3 admin //v1 v2 把version 3 換成comunit ASA1(config)# snmp-server location beijing //用于說明的(非必須) ASA1(config)# snmp-server contact xiaoming ASA1(config)# snmp-server enable traps snmp ? //允許trap snmp一些信息 configure mode commands/options: authentication Enable authentication trap coldstart Enable coldStart trap linkdown Enable linkDown trap linkup Enable linkUp trap warmstart Enable warmstart trap <cr>
認證管理訪問
ASA1(config)# aaa-server aaaname protocol ? //定義要用的協(xié)議和名字 configure mode commands/options: http-form Protocol HTTP form-based kerberos Protocol Kerberos ldap Protocol LDAP radius Protocol RADIUS sdi Protocol SDI tacacs+ Protocol TACACS+ ASA1(config)# aaa-server aaaname (DMZ) host 192.168.12.100 cisco //定義服務(wù)器位置和key—cisco 在ssh上用AAA ASA1(config)# aaa authentication ssh console aaaname LOCAL 注:記得no aaa authentication exec LOCAL 若要做本地授權(quán)則在本地設(shè)置一個和認證服務(wù)器上相同用戶名密碼的賬號: ASA1(config)# username test1 password cisco privilege 15
自簽名證書
網(wǎng)站標題:ASA系統(tǒng)管理與日志_02
標題鏈接:http://muchs.cn/article18/pipogp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站排名、標簽優(yōu)化、靜態(tài)網(wǎng)站、網(wǎng)站改版、網(wǎng)站維護、網(wǎng)頁設(shè)計公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)