SEC_ASA 第一天作业

拓扑：
实验需求：
注意：在开始作业之前必须先读“前言”，以免踩坑！！！（☞敢点我试试）

1. 按照拓扑图配置VLAN连接。
   注意：ASA防火墙的 Gi0/1口需要起子接口！
   提示：ASA防火墙起完子接口一定要对物理口 no shutdown；交换机 E0/1接口需要先改变端口封装（Switch(config-if)#switchport trunk encapsulation dot1q）才能起 Trunk，还可以用命令 switchport trunk allowed vlan （VLAN ID） 来限制 Trunk传输 VLAN Tag标记的流量。
   设备配置：
   ##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##
   ASA
   !
   interface GigabitEthernet0/1
   no nameif
   no security-level
   no ip address
   !
   interface GigabitEthernet0/1.3
   vlan 3
   nameif Inside
   security-level 100
   ip address 10.1.1.10 255.255.255.0
   !
   interface GigabitEthernet0/1.4
   vlan 4
   nameif MDZ
   security-level 50
   ip address 192.168.1.10 255.255.255.0
   !
   SW
   interface Ethernet0/1
   switchport trunk allowed vlan 1,3,4
   switchport trunk encapsulation dot1q
   switchport mode trunk
   spanning-tree portfast trunk
   测试现象：
   ##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##
   

2. Inside路由器起环回口 loopback0，IP：1.1.1.1/32，ASA和 Inside路由器之间做静态路由（精确匹配），使得 ASA 可以 ping通 1.1.1.1。
   

提示：静态路由精确匹配举例：ip route 192.168.1.1 255.255.255.255 10.1.1.10
设备配置：
##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##
ASAFW(config)# route inside 1.1.1.1 255.255.255.255 10.1.1.1

Inside(config)#int lo 0
Inside(config-if)#ip address 1.1.1.1 255.255.255.255

测试现象：
##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

3. DMZ路由器起环回口 loopback0，IP：2.2.2.2/32，ASA和 DMZ路由器之间起 OSPF动态路由协议（OSPF1 AREA0 通告精确地址），使得 ASA 可以 ping通 2.2.2.2。
   

提示：OSPF中通告精确地址举例（路由器）：network 192.168.1.1 0.0.0.0 area 0
设备配置：
##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##
ASAFW(config)# router ospf 1
ASAFW(config-router)# network 192.168.1.0 255.255.255.0 area 0

DMZ(config)#int lo 0
DMZ(config-if)#ip address 2.2.2.2 255.255.255.255
DMZ(config-if)#exit
DMZ(config)#router ospf 1
DMZ(config-router)#network 192.168.1.0 0.0.0.255 area 0
DMZ(config-router)#network 2.2.2.2 0.0.0.0 area 0

测试现象：
##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

4. Outside路由器起环回口 loopback0，IP：3.3.3.3/32，ASA和 Outside路由器之间做默认路由，使得 ASA 可以 ping通 3.3.3.3。
   

设备配置：
##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##

ASAFW(config)# route Outside 0.0.0.0 0.0.0.0 202.100.1.1

测试现象：
##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

5. Inside路由器分别 Telnet DMZ路由和 Outside路由；DMZ路由器 Telnet Outside路由器（路由方式为静态路由精确匹配，Outside路由器有默认路由可不用配置）。
   

设备配置：
##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##
DMZ、Oustside设备配置
username admin privilege 15 password 0 cisco
line vty 0 4
login local
transport input all
测试现象：
##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##

6. 配置并登录 ASDM（Win7上 IP地址已经配好，不用再配置）。
   

设备配置：
##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图##
ASA
username admin password cisco pbkdf2 privilege 15
interface Management0/0
management-only
nameif MGMT
security-level 100
ip address 10.10.10.10 255.255.255.0
no shutdown
http server enable
http 10.10.10.0 255.255.255.0 MGMT
asdm image boot:/asdm-77170.bin

测试现象：
##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##