cisco asa 5505配置问题

发布网友 发布时间：2022-04-22 00:08

我来回答

共3个回答

热心网友 时间：2023-07-12 16:48

E0/0接口貌似从描述上来看是要加入到outside区吧？为撒没有写switchport access vlan 1？打漏了吧？都没有实接口被划到outside区里怎么可能ping的通。。。
还有配置里面木有做ACL。。。也就是没有策略，这种情况只有高优先级可以访问低优先级区域，反向访问是不可能的。
最后一个问题，如果只是访问接口直连网段倒是不用路由，如果需要访问到非接口直连网段必须要写路由才行。顺便一说。。ASDM这个东西好像都不怎么用的。。。据说很难用很坑爹，反正我一般不用。。。。
总之，cisco防火墙通的前提有三个：1、策略要写；2、NAT要做；3、路由要写

PS:
配置里增加如下内容再测试是否正常：
interface ethernet0/0
switchport access vlan 1
access-list extend XXX //这条命令定义策略，可以根据需要定义，不一定用any到any
permit ip any any
access-group XXX outside in //这条命令好像不太正确，正确格式忘了，大概意思就是调用名字叫XXX的ACL到outside区的入方向。

PPS:
你配置里面icmp unreachable rate-limit 1 burst-size 1这条命令我不太熟悉。。你自己定义上去的吗？建议到网上查下CISCO文档看下作用。。。。追问switchport access vlan 1
在ETH0/0中绑定不上，不知道为啥，后来nameif 也不好使了，不过最后我搞了个透明模式，什么都不用设定

热心网友 时间：2023-07-12 16:49

额 基本配置没错 如果内*都ping 不同 你要知道高访问低 和 低访问高 都需做什么 并且这些配置作对没 我觉得很大可能就是在做这些时做错了 ！！ 因为除了这个应该没什么出错的

热心网友 时间：2023-07-12 16:49

需要在你自己确定内*路由和网关配置都正确的情况下：

1、缺asdm image xxxx
2、nat配置反了
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
3、针对icmp还需要加
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect ipsec-pass-thru
!
service-policy global_policy global