关于思科防火墙设置

ciscoasa# show run
: Saved
:
ASA Version 7.0(8)
!
& U) F  C6 y/ t/ k( L  xhostname ciscoasa
enable password bvalPmsJo1vFkzZM encrypted
passwd bvalPmsJo1vFkzZM encrypted
) }7 T/ ]9 r9 Enames
dns-guard
* S( x- T1 o0 m9 y. ~' z!
8 `5 X* t* B: k( i+ a* W7 Linterface Ethernet0/0
nameif outside
security-level 0
ip address 10.2.14.2 255.255.255.0
. x. c' A' A' @, M' M( f3 N!
8 |! g3 D3 |  qinterface Ethernet0/1
4 B. S8 n; l0 F! W6 J0 K' [5 o nameif inside
security-level 100
5 B2 Z" L) W3 I8 R  i2 t ip address 10.1.1.1 255.255.255.0
0 {# G% G  p) A# M!
interface Ethernet0/2
shutdown
  H% W6 N/ |$ G' {0 c no nameif
* Y. Y  I0 ~  W" i5 b; f. B9 T+ j no security-level
* _8 A' d& P- Q! I2 I9 y no ip address
% t6 u% n/ h+ ~( N% L6 n0 u!
interface Management0/0
% ~( M% B4 m7 g8 f nameif management
- x$ l4 O( s# b security-level 100
: {% w, i% a' |$ N' L7 G! \0 a ip address 192.168.1.1 255.255.255.0
management-only
!
4 e3 _) S+ Z3 o5 Wftp mode passive
dns domain-lookup outside
" g$ Z% U  i( t) P# {" `: T- U) O' Idns name-server 119.253.1.26
access-list list_name extended permit udp any any eq 5222
0 I& ]  Z. {; B8 ^9 j2 Eaccess-list list_name extended permit udp any any eq 8100
access-list list_name extended permit udp any any eq 8084
access-list list_name extended permit udp any any eq 8085
/ c& w4 d9 L* L" p# _access-list list_name extended permit udp any any eq 5525
access-list list_name extended permit udp any any eq 443
access-list list_name extended permit udp any any eq 5526
access-list list_name extended permit tcp any any eq 5222
4 _4 y/ G0 L6 O, x4 ?access-list list_name extended permit tcp any any eq 8100
+ n$ ]0 ?. n( E4 q4 u" B& @access-list list_name extended permit tcp any any eq 8084
access-list list_name extended permit tcp any any eq 8085
( z6 }: k4 e3 Q1 gaccess-list list_name extended permit tcp any any eq 5525
access-list list_name extended permit tcp any any eq https
- _' b' Z/ `8 `1 h  G0 Oaccess-list list_name extended permit tcp any any eq 5526
access-list list_name extended permit tcp any any eq 11433
pager lines 24
8 [7 s/ Q' p# G) D! u' F. F2 j) blogging asdm informational
mtu outside 1500
% e7 Z) K8 R* [0 w0 \0 mmtu inside 1500
mtu management 1500
asdm image disk0:/asdm-508.bin
no asdm history enable
8 S2 d, {+ A  b6 _+ ]/ s& B% |arp timeout 14400
  ^( p% j, f8 D% z0 A7 N$ |0 cglobal (outside) 1 119.255.37.97 netmask 255.255.255.240
nat (inside) 1 10.1.10.0 255.255.255.0
nat (inside) 1 10.1.20.0 255.255.255.0
nat (inside) 1 10.1.30.0 255.255.255.0
nat (inside) 1 10.1.40.0 255.255.255.0
nat (inside) 1 10.1.50.0 255.255.255.0
& S7 t( v+ X2 v: _: |, M& ^' Wnat (inside) 1 10.1.60.0 255.255.255.0
5 \0 S: ?( k3 O) ?" |nat (inside) 1 10.1.70.0 255.255.255.0
% v( W; ^& Z. L$ U( J) A" T1 Znat (inside) 1 10.1.80.0 255.255.255.0
nat (inside) 1 10.1.100.0 255.255.255.0
9 W& q' H2 J; cnat (inside) 1 10.1.120.0 255.255.255.0
access-group list_name in interface outside
route outside 0.0.0.0 0.0.0.0 10.2.14.1 1
route inside 10.1.0.0 255.255.0.0 10.1.1.2 1
timeout xlate 3:00:00
2 ]" V0 F# z% {. p4 A  Utimeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
. X4 `% s1 R8 btimeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
- e9 o4 r7 m% ousername innobac.com password Osy2gHsVboIB7pqY encrypted
http server enable
# s' G( C4 D9 S9 m2 Z! [5 l0 thttp 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
: U6 I' d3 |$ \3 F# Q. B- Jsnmp-server enable traps snmp authentication linkup linkdown coldstart
8 G1 O( _6 |, J) ]1 @' z" J  O+ d+ ecrypto ipsec security-association lifetime seconds 28800
0 @: m/ e# m6 d; h7 Acrypto ipsec security-association lifetime kilobytes 4608000
telnet 0.0.0.0 0.0.0.0 inside
+ o+ _9 l1 v. X8 ]0 p" y# e0 {telnet timeout 5
ssh timeout 5
console timeout 0
) J* B+ j- d* B& f! r& F, Bdhcpd address 192.168.1.2-192.168.1.254 management
0 `) T$ x/ n. ?4 t* Udhcpd lease 3600
dhcpd ping_timeout 50
- T5 ~. e8 M$ J! {6 y* W& z, r+ Pdhcpd enable management
!
- }) |, \& C* j; m" A  kclass-map inspection_default
match default-inspection-traffic
( I- _, l) C$ ^( W& P, A!
!
. W8 C* O' Z- _7 k( gpolicy-map global_policy
( Q+ R5 H6 w: |; ]% t; \" q class inspection_default
: q9 h3 e* H2 J( p3 u4 }: k inspect dns maximum-length 512
* J, \! M( V+ ^& y2 r inspect ftp
inspect h323 h225
inspect h323 ras
1 h4 _( T, S) @# n5 y% i/ S0 \6 v8 { inspect rsh
inspect rtsp
2 N( C- v$ m9 B! u( V& i% R inspect esmtp
3 S3 q* @: c  _! Q. I inspect sqlnet
: v& `4 O/ M* A, r( d. ~ inspect skinny
# q' K4 _0 z$ ^0 E4 k5 d0 Y( I inspect sunrpc
inspect xdmcp
+ }" y' a$ R2 n6 P0 I0 o" Y5 }, L8 ^ inspect sip
inspect netbios
3 J# R& w) t) d8 I6 ]7 W' `8 v2 ^ inspect tftp
!
service-policy global_policy global
Cryptochecksum:f2d8d2ac576052587c3b0e391d28d398
, ^% Z9 E; v. C- e: end
. b; e* }" ^% A6 [- H( `ciscoasa#
---------------------------------------------------------------
近期我司更换外网（换了另一家的光纤），机房有思科防火墙当做路由器来用了，以上就是目前配置了。

以上配置是现有配置，如果要换外网ip的话具体该怎么做呢？请大侠们指点小弟，越详细越好，小弟是个大白菜，很白很白！再次雪地脱裤跪地了！救命啊~~~~

大侠们，救命啊

1. 更改E0/0接口IP地址
% h. ^) i) M, K, R+ z& Tinterface Ethernet0/0
$ i/ T5 A- X1 n. z2 \* j) u  ip address 10.x.x.x 255.255.255.0

- O/ ]5 c5 U" b! K2. 更改出口路由
. n, a) q  ]( h, ?( Y) \6 g7 p! \
1 O( k- U7 x+ s0 H; v2 i; |1 Uno route outside 0.0.0.0 0.0.0.0 10.2.14.1  //删除旧路由

$ D* X( X, r, [8 h( N! croute outside 0.0.0.0 0.0.0.0 x.x.x.y  //添加心路由
8 b& Z8 L4 ^, \' d7 c
( S9 Z& c" D+ l0 J+ b3. 更改地址转换
2 Q6 @, P7 ~2 |( Q8 p5 E( K
   no global (outside) 1 119.255.37.97 netmask 255.255.255.240 //删除旧的转换地址
$ y. O5 F- v. t/ O
    global (outside) 1 x.x.x.z  //添加新的转换地址

引用:                                                                                                                                作者: wild786                                                                                                                                                                                                        1. 更改E0/0接口IP地址
interface Ethernet0/0
" M( I! T3 U. J% [5 V* _3 l  ip address 10.x.x.x 255.255.255.0

; _. g4 w" i' F5 b; F2. 更改出口路由
' a4 U, e* s  j. C
* `' \8 {* @' y" x* \6 x% Wno route outside 0.0.0.0 0.0.0.0 10.2.14.1  //删除旧路由
4 Z, F& l, Y( ~; g7 }  O
0 }+ B# {! a& `route outside 0.0.0.0 0.0.0.0 x.x.x.y  //添加心路由
: p5 d' Z$ @; t* R/ x5 S% h
3. 更改地址转换

! P& @9 X$ K5 }$ ^   no global (outside) 1 119.255.37.97 netmask 255.255.255.240 //删除旧的转换地址
! a% g  n/ r7 R" |* I: |: f9 e: T
    global (outside) 1 x.x.x.z  //添加新的转换地址                                                                                                                ---------------------------------------------------------------------
大侠！我对你的敬意犹如滔滔江水连绵不绝！你是救星，你是太阳，划时代的活雷锋！小弟真不知道该说啥了，真的太感谢了！

飘过  看看

似乎还是不行，不知道哪里出了错，是不是E0/0接口ip地址不应该更改呢？
小弟还是不明白啊
# D1 K; Q: A4 P; r( E' I$ B
: `! i7 r7 }. }' [* }# A' B地址转换 指的是不是 绑定外网ip呢？

望大侠们指点迷津，小弟拜托了~！！！

请大侠们详细写下步骤命令，小弟小白555555555555555555

看你的配置
0 J$ Z8 S/ r( D( n& a& F& d
. G: k- i0 z: I' G' ^0 `  S外网口上配置的似乎不是外网IP
1 u& m1 A7 n8 M& @0 u1 G
3 I8 j) B/ |' h, I9 c9 C; a是不是外网接入设备不是这个防火墙

楼上大侠，原来是哈尔滨人啊，呵呵，久仰！俺是牡丹江的，目前在北京。呵呵
9 j5 C- u% e8 ]3 e1 E0 k
$ h% w/ T3 L1 ]+ m' K9 }! D大侠，其实是这样地，我们公司机房接外网的是思科防火墙，但是这座大厦还有个机房，也就是说，大厦物业那里有个机房，电信通公司的节点就在物业机房里，估计电信通在物业机房放了个交换机，所以外网ip地址会是10.2.14.2
) |( x; w/ C% S6 H
( Q0 O2 G6 I! h) ]7 O9 u现在我们公司换了一家带宽提供商，那是不是得把外网10.2.14.2这个也得换成新的网络提供商提供的ip地址呢？

请大侠，详细的写出具体命令给小弟，让小弟了然！小弟提前拜年了，3q！新年大富大贵！

特别感谢 wild786 大侠，仗义出手，问题搞定了！谢谢！
6 h* s" i" [; C! k1 B还有 ゞ懒虫ゞ  大侠，都是牛b人
0 L. L/ K! E! ~- f' I% f( f
% q/ N) Y) H& e0 b. R问题解决了，太感谢你们了

呵呵，楼主总结下嘛。。