使用ASDM 管理 ciscoASA设备

来源：互联网发布：真才美网络学校编辑：程序博客网时间：2024/06/08 09:00

用vm虚拟机模拟了一台 ASA设备
自适应安全设备软件为 ASA8.25
asdm镜像为asdm-6.49.bin

用客户端连接时，一定要安装java jre，版本我是用的是7，6应该也可以。

管理器分为三部分

一主页面

二配置部分
1.设备设置

2.防火墙

3.远端vpn

4.站点到站点vpn

5.设备管理

三监控部分

第一部分：home主页面

home 主页面

Device Information 设备信息

general

firewall：防火墙模式（路由模式、透明传输模式）

Device Type ：设备类型

context Mode：背景模式虚拟防火墙（在一个实体防火墙上做出若干个独立的虚拟防火墙）

License 许可证

GTP/GPRS: GTP/GPRS隧道协议监控(安全通道，两个主机可通过该通道交换数据)

encryption：加密协议

physical interface：物理接口（unlimited 无限制）

vlans：支持vlan数量

failove：高可用性（故障转移）
           要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接
            Active/Active：两个设备可以同时传送流量。这可以让你实现负载均衡。A/A failover只能运行
                                       在多虚拟防火墙模式下。
           Active/Standby：同一时间，只能有一个设备传输流量，另一个设备作为备份用

Interface status 接口状态
……自己看图

System Resources Status 系统资源状态

……自己看图

Traffic Status 流量状态
connections per second usage 每秒连接量
xxx interface traffic usage （kps） xxx接口流量

Latest ASDM Syslog Message 最新的日志信息
点击开启，显示最新的信息状态

Device list
管理设备信息

第二部分：Configuration 配置部分

五个项目

1.设备设置

2.防火墙

3.远端vpn

4.站点到站点vpn

5.设备管理

首先是第1项目，设备设置

1.Device startup

Startup Wizard 启动向导 ……

Interface：

接口配置右边有add edit 两个按钮，可以添加和编辑接口
里面可以设置ip地址，子网掩码，接口名字，安全级别，

双工模式，速率

也可以配置 MTU大小，ip6信息

CLI 相应设置：

     asa825(config-if)# ip address 10.0.0.1 255.0.0.0
     asa825(config-if)# nameif 接口名字
     asa825(config-if)# security-level 安全级别
     asa825(config-if)# duplex ?     双工模式
     asa825(config-if)# speed ?     速率

Device Name/Password

设备名字、域

enable password 进入特权模式密码（asa 取消了enale secret使能密码，enable password直接加密）

Telnet Password 通过远程方式（telnet、ssh）访问的密码

CLI 相应设置：
ciscoasa(config)#hostname xxx                   设备名字
ciscoasa(config)#domain-name xxx              域

ciscoasa(config)#enable password xxx 进入特权模式密码

ciscoasa(config)#passwd xxx 远程方式（telnet、ssh）访问的密码

第三菜单远端vpn

3.Remote Access VPN

3.2Network Client Access 客户端访问

CLI命令：

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# webvpn

 port 443 enable dianxin enable liantong dtls port 443 svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1 svc enable tunnel-group-list enablegroup-policy iyunshu internalgroup-policy iyunshu attributes dns-server value 202.102.224.68 vpn-tunnel-protocol IPSec  split-tunnel-policy tunnelspecified split-tunnel-network-list value iyunshu_splitTunnelAclgroup-policy ssl-policy internalgroup-policy ssl-policy attributes vpn-tunnel-protocol svc webvpn split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnuser_splitTunnelAcl address-pools value sslvpnpool webvpn  svc ask enable default webvpngroup-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec l2tp-ipsec username iyunshu password punVcwIU8fS3jQB1 encrypted privilege 0username iyunshu attributes vpn-group-policy iyunshu

3.3 Clientless SSL VPN Access 无客户端访问

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# ?

WebVPN commands:

anyconnect AnyConnect configuration parameters

anyconnect-essentials Enable/Disable AnyConnect Essentials

apcf Load Aplication Profile Customization Framework (APCF) profile

auto-signon Configure auto-sign to allow login to certain applications using the WebVPN session credentials

cache Configure WebVPN cache

certificate-group-map Associate a tunnel-group with a certificate map rule

character-encoding Configures the character encoding for WebVPN portal pages

csd This specifies whether Cisco Secure Desktop is enabled and the package file name to be used.

default-idle-timeout This is the default idle timeout in seconds

default-language Default language to use

dtls Configure DTLS for WebVPN

enable Enable WebVPN on the specified interface

error-recovery Contact TAC before using this command

exit Exit from WebVPN configuration mode

file-encoding Configures the file encoding for a file sharing

server

help Help for WebVPN commands

http-proxy This is the proxy server to use for HTTP requests

https-proxy This is the proxy server to use for HTTPS requests

internal-password Adds an option to input a different password for

accessing internal servers

java-trustpoint Configure WebVPN java trustpoint

kcd-server Configure an KCD-Server

keepout Shows Web page when the login is disabled

memory-size Configure WebVPN memory size. CHECK MEMORY USAGE

BEFORE APPLYING THIS COMMAND. USE ONLY IF ADVISED BY

CISCO

mobile-device Configure access from mobile devices

mus Configure Mobile User Security

no Remove a WebVPN command or set to its default

onscreen-keyboard Adds WebVPN onscreen keyboard for typing password on

the WebVPN logon page and internal pages requiring

authentication

port WebVPN should listen for connections on the

specified port

port-forward Configure the port-forward list for WebVPN

portal-access-rule Configuration related to portal access rules

proxy-bypass Configure proxy bypass

rewrite Configure content rewriting rule

smart-tunnel Configure a list of programs to use smart tunnel

sso-server Configure an SSO Server

tunnel-group-list Configure WebVPN group list dropdown in login page

tunnel-group-preference Enable/Disable Tunnel Group Preference

第5菜单设备管理

5.Device Management

ASDM/HTTPS/Telent/ssh
这里是配置通过何种方式管理设备

右上角add可以增加访问方式，目前有 asdm/https ssh telnet 方式

开启http server 直接选中方框
port number 设置http服务端口号默认为ssl加密的443端口
可以设置超时时间和session时间

CLI 命令：

开启telnet 管理
asa825(config)# telnet 192.168.1.0 255.255.255.0 inside
#aaa authentication telnet console LOCAL (如果使用aaa认证)

开启ssh管理

asa825(config)#hostname ASA 设置主机名

asa825(config)#domain ccie.com 设置域名

asa825(config)# ssh 192.168.1.0 255.255.255.0 inside
asa825(config)# crypto key generate rsa (打开SSH服务)
#aaa authentication ssh console LOCAL (如果使用aaa认证)

开启https管理

ciscoasa(config)#http server enable 开启http服务端口号默认为ssl加密的443端口
ciscoasa(config)#http server enable xxx 开启http服务端口号为xxx
ciscoasa(config)#http server enable

ciscoasa(config)# http server ?

configure mode commands/options:

enable Enable the http server required to run Device Manager

idle-timeout Idle timeout in minutes (single routed mode only) 超时时间

session-timeout Session timeout in minutes (single routed mode only) 会话时间

阅读全文

0 0