ASA與FTD的基本配置
思科安全的考綱就不用說了,但我的認爲最難的是記命令,尤爲那些個命令生產環境雖然要用,但都是依賴文檔,考試的時候最好仍是熟記。本篇就是整理概括,懶得翻文檔查google了。html
一. ASA的HA
(默寫了5遍。。。)安全
Primary Unit:ide
failover
failover lan unit primary
failover lan FAILOVER interface gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2google
Secondary Uniturl
failover
failover lan unit secondary
failover lan interface FAILOVER gi0/2
failover link STATEFUL gi0/3
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.2 255.255.255.252 standby 2.2.2.2.net
show failover state/ show failover 等驗證命令不放了,不過要記得查看monitor interfacehtm
使用prompt hostname state來顯示是不是active standbyblog
ASA有個特性,全部的流量必須得在配置了nameif security-level才能生效。好比,你只配置了接口的ip,而沒有nameif 和security level,是沒法ping通的。接口
練習下multi context可是ASAv不支持(其實也很好理解,虛擬機爲啥要支持虛擬防火牆?再裝個虛擬機不就完了麼),但無論如何,抄一遍命令,加深下印象,不作註釋了,項目都起過了。ip
ASA1:
mode multiple
接口部分
interface Gi0/1
no shut
interface Gi0/2
no shut
interface Gi0/1.10
vlan 10
interface Gi0/1.20
vlan 20
interface Gi0/2.30
vlan 30
interface Gi/0.240
vlan 40
Context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg
Context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg
HA部分
failover
failover lan unit primary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2
failover-group 1
primary
preempt
failover-group 2
secondary
preempt
context C1
join-failover-group 1
context C2
joint-failover-group 2
ASA2
mode multiple
接口配置
interface Gi0/1
no shut
interface Gi0/2
no shut
interface gi0/1.10
vlan 10
interface gi0/1.20
vlan 20
interface gi0/2.30
vlan 30
interface gi0/2.40
vlan 40
context C1
allocate-interface GigaEthernet0/1.10
allocate-interface GigaEthernet0/2.30
config-url disk0:/c1.cfg
context C2
allocate-interface GigaEthernet0/1.20
allocate-interface GigaEthernet0/2.40
config-url disk0:/c2.cfg
HA的部分
failover
failover lan unit secondary
failover lan FAILOVER interface gi0/6
failover link STATEFUL gi0/7
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2
二. ASA的NAT
先說個ASA的特性,咱們知道因爲security-level的存在,高級別進入級別的流量被默認放行,反之低級別進入高級別默認block。可是咱們一旦在接口下配置了ACL,全部security-level都其實做廢了。其實在生產環境下,security-level是沒啥用的。。。參考文檔:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html
說回NAT,因爲NAT的命令實在是太多了,項目中我也通常是用ASDM去配的。
留着這份文檔往後再看。
https://www.practicalnetworking.net/stand-alone/cisco-asa-nat/
三. FTD接口與路由
嫌麻煩,直接用OSPF把全部5臺CSR和FTD打通,這裏直接截下圖。畢竟FTD的OSPF配置仍是5分鐘就能明白搞定的。
能夠進入FTD的console查看OSPF鄰居接口情況
因爲FTD是ASA的底層,因此一些咱們熟知的ASA命令仍然是可使用的。
下一篇寫DM×××,使用證書認證。
- 1. ASA、DMZ基本配置案例
- 2. asa 防火牆基本配置管理
- 3. ASA&ACL配置
- 4. ASA&MPF配置
- 5. ASA SSL××× 配置
- 6. 基於ASA防火牆的SSL ×××配置
- 7. ASA配置×××代理
- 8. ASA 配置筆記
- 9. Cisco ASA 配置IPsec ***
- 10. 2 ASA上的NAT配置
- 更多相關文章...
- • Hibernate事務的配置 - Hibernate教程
- • Eclipse Debug 配置 - Eclipse 教程
- • Kotlin學習(二)基本類型
- • Kotlin學習(一)基本語法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ASA、DMZ基本配置案例
- 2. asa 防火牆基本配置管理
- 3. ASA&ACL配置
- 4. ASA&MPF配置
- 5. ASA SSL××× 配置
- 6. 基於ASA防火牆的SSL ×××配置
- 7. ASA配置×××代理
- 8. ASA 配置筆記
- 9. Cisco ASA 配置IPsec ***
- 10. 2 ASA上的NAT配置