SEC_ASA 第二天作业

拓扑

1. 按照拓扑图配置 NTP，Server端为 Outside路由器，Client端为 ASA，两个设备的 NTP传输使用MD5做校验。（安全 V4 LAB考点） 

提示：Outside路由器作为 Server端要配置好正确的时间和时区，ASA防火墙记得指定对端的 key ID，同步过程会稍慢，大约 10分钟，可以先做后面的需求。 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

ASA 

Outside 

ntp authentication-key 1 md5 060506324F41 7 

ntp authenticate 

ntp trusted-key 1 

ntp master 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 使用 ASDM查看 ASA上关于 Inbound/Outbound的 Debugging日志（可用 Telnet制造流量）。 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

logging enable 

logging asdm debugging 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 创建名为 Telnet-List的 Event-List，并针对 ID为 106001和 302013的流量日志发送到日志服务器（192.168.1.100），调整 ID 为 302013 的时间 Level 为 Warnings，并查看 ASA中下发的配置命令。 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

logging list Telnet-List message 106001 

logging list Telnet-List message 302013 

logging trap Telnet-List 

logging host DMZ 192.168.1.100 format emblem 

logging message 302013 level  Warnings 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 使用 packet-tracer命令测试 DMZ to Inside的 ICMP流量和 Inside to DMZ的 Telnet流量。（安全 V4 LAB考点） 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

packet-tracer input DMZ icmp 192.168.1.241 0 3 10.1.1.10 xml 

packet-tracer input Inside tcp 10.1.1.10 8888 192.168.1.241 23 xml 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 在 ASDM中使用 Capture Wizard抓取 DMZ to Outside的 Telnet流量。 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

! DMZ 

  

! Apply ingress  capture on the DMZ interface. 

capture asdm_cap_ingress match tcp  192.168.1.1 255.255.255.255 202.100.1.1 255.255.255.255 eq telnet 

capture asdm_cap_ingress packet-length 1522 buffer 524288 

capture asdm_cap_ingress interface DMZ 

  

  

! Inside 

  

! Apply egress  capture on the Inside interface. 

capture asdm_cap_egress match tcp  192.168.1.1 255.255.255.255 202.100.1.1 255.255.255.255 eq telnet 

capture asdm_cap_egress packet-length 1522 buffer 524288 

capture asdm_cap_egress interface Inside 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 配置 SSH，使 Outside路由器能够网管 ASA。 

提示：需要看到如下输出 

Outside#ssh -l admin -v 2 202.100.1.10 

Password: 

Type help or '?' for a list of available commands. 

ASA> en 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

ASA 

ssh 202.100.1.0 255.255.255.0 Outside 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图## 

1. 配置 AAA认证（Radius），使 Inside路由器能够通过 AAA认证（username:acsuser；password:Cisc0123），Telnet网管 ASA。（安全 V4 LAB考点） 

提示：需要看到如下输出 

Inside#telnet 10.1.1.10 

Trying 10.1.1.10 ... Open 

User Access Verification 

Username: acsuser 

Password: ******** 

Type help or '?' for a list of available commands. 

ASA> 

设备配置： 

##此处展示各设备的配置，可以粘贴文字，也可以粘贴截图## 

    ssh 0 0 Inside 

      aaa-server 3A protocol tacacs+ 

      aaa-server 3A (DMZ) host 192.168.1.241 

        key cisco 

aaa authentication ssh console 3A LOCAL 

测试现象： 

##此处展示实验需求的测试结果，可以粘贴文字，也可以粘贴截图##