https://www.cisco.com/c/dam/global/zh_cn/solutions/industry/segment_sol/enterprise/programs_for_large_enterprise/pdf/sln/cisco_sba_sln_teleworking_asa5505deploymentguide-aug2012_chn.pdf
https://www.cisco.com/c/en/us/support/security/asa-5505-adaptive-security-appliance/model.html
https://www.cisco.com/c/dam/global/zh_cn/products/collateral/security/asa-5500-series-next-generation-firewalls/data_sheet_c78-701253.pdf
asa5505支持两种模式,分别为 Routed mode 和 Transparent mode, 其中 routed mode 为默认模式,也是公司通常使用的模式,Transparent mode (透明模式) 意味着它被视为L2设备,进而意味着它的主要优点是可以将其直接插入网络,而无需在其他的设备上进行任何相关 ip 地址的变更。
下面对 Routed mode (默认模式) 进行说明:
接口 ——对内(VLAN 1) 对外 (VLAN 2)
默认启用和分配的 Switch 接口 —— Ethernet 0/1 到 0/7 分配给内部使用, Ethernet 0/0 分配给外部。
IP 地址—— 外部地址来自于上游的DHCP,内部地址手动设置为192.168.1.1/24
NAT(网络地址转换)—— 所有内部 ip 地址访问外部时使用接口 PAT 进行转换
流量 —— 从内部到外部允许 IPv4 和 IPv6(此行为在ASA设备上为隐含),禁止外部用户访问内部。
DHCP 服务器 —— 专门为内部主机启用,因此连接到内部接口的地址在192.168.1.5 到 192.168.1.254 之间。从外部接口上的 DHCP 客户端获得的 DNS, WINS 和 domain (域) 信息将传递到内部接口上的 DHCP 客户端。
默认路由 —— 源自 DHCP
ASDM 访问 —— 允许内部主机
在 Routed firewall mode 模式下,全部 VLAN 接口共享同一个 MAC 地址,需要确保的是所连接的交换机都支持该模式,如果交换机需要独立 MAC 地址,则可以手工分配 MAC 地址。
在 Transparent firewall mode 模式下,每条 VLAN 都有自己的 MAC 地址,如有需要,可以通过手工分配 MAC 地址来覆盖之前系统自动分配的 MAC 地址。
ASA5505 查询命令:
查看版本:
ciscoasa> show version
Cisco Adaptive Security Appliance Software Version 8.2(5)
Device Manager Version 6.4(5)
Compiled on Fri 20-May-11 16:00 by builders
System image file is “disk0:/asa825-k8.bin”
Config file at boot was “startup-config”
ciscoasa up 8 mins 16 secs
Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
…
查看POE接口:
ciscoasa> show power inline
Interface Power Device
Et0/0 n/a n/a
Et0/1 n/a n/a
Et0/2 n/a n/a
Et0/3 n/a n/a
Et0/4 n/a n/a
Et0/5 n/a n/a
Et0/6 off n/a
Et0/7 off n/a
查看VLAN
ciscoasa>show switch vlan
VLAN Name Status Ports
1 inside down Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside down Et0/0
查看 VLAN 详细信息
ciscoasa>show interface vlan xxx
查看dhcp信息
ciscoasa>show run dhcpd
清除dhcp信息
ciscoasa>clear configure dhcpd
进入特权模式
cisocasa>enable
进入全局配置模式
ciscoasa#configure terminal
或者简写 conf t 效果一样
查看正在运行中的配置信息
ciscoasa>show running-config
密码&配置 重置
1、重新连接电源
2、在启动的过程中可看到提示,按ESC键进入ROM Monitor模式,此时出现提示符rommon #0>
3、改变寄存器的值为0x41 rommon #0>confreg 0x41
4、输入reboot重启 rommon #1>reboot
5、重启过程会跳过输入密码的部分,此时看到提示符 ciscoasa>
6、这时可修改密码
ciscoasa>enable
Password:(密码为空)
ciscoasa#configure terminal
ciscoasa(config)#enable password XXX
7、将寄存器改回原值
ciscoasa(config)#config-register 0x01
8、保存当前配置
ciscoasa(config)#exit
ciscoasa#copy running-config startup-config
按回车确认
9、重新载入
ciscoasa#reload
PS:如要重置设置,可以在8之前
ciscoasa(config)#configure factory-default
下面开始配置家庭实验环境,由 VLAN 100(outside),VLAN 200(inside),VLAN 300(dmz),共三部分构成,其中VLAN 100 使用默认0/0网口,VLAN 200 使用 0/4-0/7网口,VLAN 300 使用 0/1-0/3网口,VLAN 200 和 300 均可访问外网,VLAN 300(dmz) 不可访问 VLAN 200(inside),但 inside 可访问 dmz
vlan和网口配置如下
配置outside
hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 192.168.1.1 255.255.255.0
// 或者 ip address dhcp setroute
hostname(config-if)# no shutdown
配置inside
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
配置dmz
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200(不能访问 vlan 200 ) // 如不设置这一条,则默认证书下不能使用第三条Vlan, 设置此条规则后方可使用
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
将 ethernet 0/0 分配给 vlan 100 (outside)
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shut
同理
将 ethernet 0/1 - 0/3 分配给 vlan 300 (dmz)
将 ethernet 0/4 - 0/7 分配给 vlan 200 (inside)
完成后 show switch vlan 查看下分配结果
interface vlan 200
dhcpd address 10.1.2.10-10.1.2.30 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd enable inside
interface vlan 300
dhcpd address 10.1.1.10-10.1.1.20 dmz
dhcpd dns 8.8.8.8 interface dmz
dhcp enable dmz
配置完以上两步则 inside 和 dmz 内的主机可以 ping 通
PS: 如想清除 vlan下的 ip 地址:
hostname(config)# interface vlan 100
hostname(config-if)# no ip address
如想清除dhcp信息:
hostname(config)# **no dhcpd address **
如想清除 vlan:
hostname(config)# no interface vlan 100
NAT 配置如下
global (outside) 10 192.168.1.1
nat (inside) 10 10.1.2.0 255.255.255.0
nat (dmz) 10 10.1.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.1.254
完成以上步骤后,inside 和 dmz 内的主机便可访问互联网
192.168.1.1 是 asa5505 在家用路由器上的 ip 地址
192.168.1.254 是 家用路由器管理地址
————————————————
interface Vlan2
nameif outside --------------------对端口命名外端口
security-level 0 --------------------设置端口等级
ip address X.X.X.X 255.255.255.224 --------------------调试外网地址
!
interface Vlan3
nameif inside --------------------对端口命名内端口
security-level 100 --------------------调试外网地址
ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级
!
interface Ethernet0/0
switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定
!
interface Ethernet0/1
switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 211.99.129.210
name-server 202.106.196.115
access-list 102 extended permit icmp any any ------------------设置ACL列表(允许ICMP全部通过)
access-list 102 extended permit ip any any ------------------设置ACL列表(允许所有IP全部通过)
pager lines 24
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface ------------------设置NAT地址映射到外网口
nat (inside) 1 0.0.0.0 0.0.0.0 ------------------NAT地址池(所有地址)
access-group 102 in interface outside ------------------设置ACL列表绑定到外端口
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 ------------------设置到外网的默认路由
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside ------------------设置TELNET所有地址进入
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside ------------------设置SSH所有地址进入
ssh timeout 30
ssh version 2
console timeout 0
!
dhcpd address 192.168.1.100-192.168.1.199 inside ------------------设置DHCP服务器地址池
dhcpd dns 211.99.129.210 202.106.196.115 interface inside ------------------设置DNS服务器到内网端口
dhcpd enable inside ------------------设置DHCP应用到内网端口
!
前几天去客户那调试CISCO-ASA-5505设备,第一次摸,跟PIX一样,呵呵.没有技术含量,都是最基本的.其他业务配置暂时没配,会及时更新的.Cisco ASA5505配置
cisco, config, telnet, 防火墙, Cisco
1.配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2.配置telnet
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside ↑//允许内部接口192.168.1.0网段telnet防火墙
3.配置密码
asa5505(config)# password cisco ------------------远程密码
asa5505(config)# enable password cisco ------------------特权模式密码
4.配置IP
asa5505(config)# interface vlan 2 ------------------进入vlan2
asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 ------------------vlan2配置IP
asa5505(config)#show ip address vlan2 ------------------验证配置
5.端口加入vlan
asa5505(config)# interface e0/3 ------------------进入接口e0/3
asa5505(config-if)# switchport access vlan 3 ------------------接口e0/3加入vlan3
asa5505(config)# interface vlan 3 ------------------进入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 ------------------vlan3配置IP
asa5505(config-if)# nameif dmz ------------------vlan3名
asa5505(config-if)# no shutdown ------------------开启
asa5505(config-if)# show switch vlan ------------------验证配置
6.最大传输单元MTU
asa5505(config)#mtu inside 1500 ------------------inside最大传输单元1500字节
asa5505(config)#mtu outside 1500 ------------------outside最大传输单元1500字节
asa5505(config)#mtu dmz 1500 ------------------dmz最大传输单元1500字节
7.配置arp表的超时时间
asa5505(config)#arp timeout 14400 ------------------arp表的超时时间14400秒
8.FTP模式
asa5505(config)#ftp mode passive ------------------FTP被动模式
9.配置域名
asa5505(config)#domain-name Cisco.com
10.启动日志
asa5505(config)#logging enable ------------------启动日志
asa5505(config)#logging asdm informational ------------------启动asdm报告日志
asa5505(config)#Show logging ------------------验证配置
11.启用http服务
asa5505(config)#http server enable ------------------启动HTTP server,便于ASDM连接。
asa5505(config)#http 0.0.0.0 0.0.0.0 outside ------------------对外启用ASDM连接
asa5505(config)#http 0.0.0.0 0.0.0.0 inside ------------------对内启用ASDM连接
12.控制列表
access-list acl_out extended permit tcp any any eq www ------------------允许tcp协议80端口入站
access-list acl_out extended permit tcp any any eq https ------------------允许tcp协议443端口入站
access-list acl_out extended permit tcp any host 218.16.37.223 eq ftp
↑//允许tcp协议21端口到218.16.37.223主机
access-list acl_out extended permit tcp any host 218.16.37.224 eq 3389
↑//允许tcp协议3389端口到218.16.37.224主机
access-list acl_out extended permit tcp any host 218.16.37.225 eq 1433
↑//允许tcp协议1433端口到218.16.37.225主机
access-list acl_out extended permit tcp any host 218.16.37.226 eq 8080
↑//允许tcp协议8080端口到218.16.37.226主机
asa5505(config)#show access-list ------------------验证配置
13.设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1
↑//静态路由到10.0.0.0网段经过10.10.10.33网关跳数为1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1
↑//默认路由到所有网段经过218.16.37.193网关跳数为1
asa5505# show route ------------------显示路由信息
14.静态NAT
asa5505(config)# static (inside,outside) 218.16.37.223 192.168.1.6 netmask 255.255.255.255
↑//外网218.16.37.223映射到内网192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any
↑//控制列表名acl_out允许ICMP协议
asa5505(config)#access-group acl_out in interface outside
↑//控制列表acl_out应用到outside接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255
↑//dmz10.10.10.37映射到内网192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any
↑//控制列表名acl_dmz允许ICMP协议
asa5505(config)#access-group acl_dmz in interface dmz -----------------控制列表acl_out应用到dmz接口 asa5505(config)#Show nat ------------------验证配置
15.动态NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226 ------------------定义全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22 ------------------内部转换地址池
asa5505(config)# show xlate ------------------验证配置
16.基于端口NAT(PAT)
asa5505(config)#global (outside) 2 interface ----------------定义全局地址即outside地址:218.16.37.222
asa5505(config)#nat (inside) 2 192.168.1.0 255.255.255.0 ------------------内部转换地址池
asa5505(config)# show xlate ------------------验证配置
17.基于LAN故障倒换(failover)
1).主防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12----故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22-----故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32-----故障倒换虚拟MAC地址
asa5505(config)#failover ------------------启动故障倒换
asa5505(config)#failover lan unit primary ------------------设置主要防火墙
asa5505(config)#failover lan interface standby Vlan4 ------------------故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
↑//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover ------------------验证配置
2).备防火墙配置
asa5505(config)#failover mac addr outside 001a.2b3c.4d11 001a.2b3c.4w12----故障倒换虚拟MAC地址
asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w22------故障倒换虚拟MAC地址asa5505(config)#failover mac addr inside 001a.2b3c.4d21 001a.2b3c.4w32------故障倒换虚拟MAC地址asa5505(config)#failover ------------------启动故障倒换
asa5505(config)#failover lan unit secondary ------------------设置备用防火墙
asa5505(config)#failover lan interface standby Vlan4 ------------------故障倒换接口名standby
asa5505(config)#failover interface ip standby 172.168.32.1 255.255.255.252 standby 172.168.32.2
↑//配置主防火墙IP:172.168.32.1,备用防火墙IP:172.168.32.2
asa5505# show failover ------------------验证配置
18.显示mac地址
asa5505# show switch mac-address-table
19.保存配置
asa5505# write memoryCisco ASA 5505防火墙地址映射问题解决前些天帮朋友配置一台Cisco ASA5505防火墙, 映射总是不成功. 在网上也看到很多朋友遇到了这种问题,都在寻问这个解决方法.有人已经将问题解决了,但没给出解决方案. 也许这并不是一个很复杂的难题,但我希望通过博客能帮助朋友们及时得到这个小问题的处理.
基本情况:
WAN: 221.221.147.195 Gateway: 221.221.147.200 LAN: 192.168.0.1
内网中有一台服务器,地址: 192.168.0.10 端口: 8089
故障描述: 内网可正常连接至服务器,外网无法连接. 端口映射出现问题.
解决方法: 命令行错误, 已更正并解决.
问题重点: 采用 "static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089" 映射.
目前配置如下:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 221.221.147.195 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit tcp any host 221.221.147.195 eq 8089
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any any
access-list 101 extended permit udp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (inside,outside) 221.221.147.195 192.168.0.10 netmask 255.255.255.255 tcp 8089 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 221.221.147.200 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:30e219cbc04a4c919e7411de55e14a64
: end
ciscoasa(config)#
------------------------------------------------------------
在找寻解决方案过程中,有朋友做了重要提示, 采用: static (inside,outside) int 192.168.0.10 tcp 8089 做映射,但出现警告提示:
WARNING: static redireting all traffics at outside interface;
WARNING: all services terminating at outside interface are disabled.
后来将命令改成: static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089 问题解决.ASA5505配置笔记
ASA5505配置笔记
1.IP地址配置
<config>#int vlan1
<config-if>#>nameif outside
<config-if>#security-level 0
<config-if>#ip address 172.16.1.1 255.255.0.0.
<config-if>#end
<config>#int vlan 2
<config-if>#nameif insiede
<config-if>#security-levlel 100
<config-if>#ip address 192.168.1.1 255.255.255.0
<config-if>#end
2.把端口指定到相应VLAN中
<config>#int Eth0/0
<config-if>#switchport access vlan 1
<config-if>end
<config>#int Eth0/1
<config-if>switchport access vlan 2
<config-if>end
<config>#exit
3.配置Http.telnet和ssh管理
<config>#username xxx password xxxxxx encrypted privilege 15
<config>#aaa authentication enable console LOCAL
<config>#aaa authentication telnet console LOCAL
<config>#aaa authentication http console LOCAL
<config>#aaa authentication ssh console LOCAL
<config>#aaa autoentication command LOCAL
<config>#http server enable
<config>#http 192.168.1.0 255.255.255.0 inside
<config>#telnet 192.168.1.0 255.255.255.0 inside
<config>#ssh 192.168.1.0 255.255.255.0 inside
<config>#crypto key generate rsa(打开SSH服务)
4.×××配置
×××配置可在ASDM模式下配置,具体配置略CISCO ASA 5510实际配置案例及详解去年卖个某大型企业的ASA5510防火墙,附实际的配置,并且都解释了得很清楚,非常值得参考的资料!
2008-12-15 11:07
ASA5510# SHOW RUN
: Saved
:
ASA Version 7.0(6)
!
hostname ASA5510
enable password 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface Ethernet0/0 此接口为外部网络接口
nameif outside 设置为 OUTSIDE 外部接口模式
security-level 0 外部接口模式安全级别为 最高 0
ip address 192.168.3.234 255.255.255.0 添加外部IP地址 (一般为电信÷网通提供)
!
interface Ethernet0/1此接口为内部网络接口
nameif inside设置为 INSIDE
内部接口模式
security-level 100内部接口模式安全级别为 100
ip address 10.1.1.1
255.255.0.0添加内部IP地址 (一般为公司自行分配)
!
interface Ethernet0/2 没用到 SHUTDOWN
关闭
shutdown
no nameif
no security-level
no ip
address
!
interface Management0/0没用到 SHUTDOWN 关闭
nameif
management
security-level 100
ip address 192.168.1.1 255.255.255.0
没用,用网线连接管理的端口。
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
logging asdm
informational
mtu outside 1500
mtu inside 1500
mtu management
1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface 一定要打表示 PAT端口扩展:“1”为其NAT ID
nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址
route outside 0.0.0.0 0.0.0.0 192.168.3.254 1
内部所有地址访问外部地址出口为 电信-网通 提供的网关地址
timeout xlate 3:00:00
timeout conn 1:00:00
half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323
0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00
sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server
location
no snmp-server contact
snmp-server enable traps snmp
authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout
5
console timeout 0
dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围
为10.1.1.30-200
dhcpd address 192.168.1.2-192.168.1.254 management 无效
dhcpd dns 192.168.0.1 DNS 添加:可以是电信网通提供 直接添加,或者自己的DNS服务器地址。
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd domain suzhou.jy 域名
dhcpd enable inside 打开内部网段自动分配
dhcpd enable management
无效
Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4
access-group icmp_in in
interface outside 这两句表示,
access-list icmp_in extended permit icmp any any 允许PING包发送或接收
: end
