189 8069 5689

ASA与FTD的基本配置-创新互联

思科安全的考纲就不用说了,但个人认为最难的是记命令,尤其那些个命令生产环境虽然要用,但都是依赖文档,考试的时候最好还是熟记。本篇就是整理归纳,懒得翻文档查google了。

超过10余年行业经验,技术领先,服务至上的经营模式,全靠网络和口碑获得客户,为自己降低成本,也就是为客户降低成本。到目前业务范围包括了:网站制作、网站设计,成都网站推广,成都网站优化,整体网络托管,成都微信小程序,微信开发,成都App制作,同时也可以让客户的网站和网络营销和我们一样获得订单和生意!

一. ASA的HA
(默写了5遍。。。)

Primary Unit:

failover
failover lan unit primary
failover lan FAILOVER interface gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

Secondary Unit

failover
failover lan unit secondary
failover lan interface FAILOVER gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.2 255.255.255.252 standby 2.2.2.2

show failover state/ show failover 等验证命令不放了,不过要记得查看monitor interface

使用prompt hostname state来显示是否是active standby

ASA有个特性,所有的流量必须得在配置了nameif security-level才能生效。比如,你只配置了接口的ip,而没有nameif 和security level,是无法ping通的。

练习下multi context但是ASAv不支持(其实也很好理解,虚拟机为啥要支持虚拟防火墙?再装个虚拟机不就完了么),但不管如何,抄一遍命令,加深下印象,不做注释了,项目都起过了。

ASA1:

mode multiple
接口部分
interface Gi0/1
no shut
interface Gi0/2
no shut
interface Gi0/1.10
vlan 10
interface Gi0/1.20
vlan 20
interface Gi0/2.30
vlan 30
interface Gi/0.240
vlan 40

Context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg
Context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg

HA部分
failover
failover lan unit primary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

failover-group 1
primary
preempt

failover-group 2
secondary
preempt

context C1
join-failover-group 1
context C2
joint-failover-group 2

ASA2

mode multiple

接口配置
interface Gi0/1
no shut
interface Gi0/2
no shut
interface gi0/1.10
vlan 10
interface gi0/1.20
vlan 20
interface gi0/2.30
vlan 30
interface gi0/2.40
vlan 40

context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg

context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg

HA的部分
failover
failover lan unit secondary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

二. ASA的NAT

先说个ASA的特性,我们知道由于security-level的存在,高级别进入级别的流量被默认放行,反之低级别进入高级别默认block。但是我们一旦在接口下配置了ACL,所有security-level都其实作废了。其实在生产环境下,security-level是没啥用的。。。参考文档:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html

ASA与FTD的基本配置

说回NAT,由于NAT的命令实在是太多了,项目中我也一般是用ASDM去配的。
留着这份文档日后再看。
https://www.practicalnetworking.net/stand-alone/cisco-asa-nat/

三. FTD接口与路由

嫌麻烦,直接用OSPF把所有5台CSR和FTD打通,这里直接截下图。毕竟FTD的OSPF配置还是5分钟就能明白搞定的。
ASA与FTD的基本配置

可以进入FTD的console查看OSPF邻居接口状况
ASA与FTD的基本配置

由于FTD是ASA的底层,所以一些我们熟知的ASA命令仍然是可以使用的。
ASA与FTD的基本配置

下一篇写DM×××,使用证书认证。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站题目:ASA与FTD的基本配置-创新互联
文章分享:http://cdxtjz.cn/article/djjcsd.html

其他资讯