ASA5585防火牆IDC機房上架記

ASA5585防火牆IDC機房上架記

 

前言：
    如今網遊公司用的是ASA5520，web網站常常被別人***一下，就把28萬個鏈接都用完的，形成服務不正常。這個問題必須立刻解決，參考了不少互聯網公司的網絡架構，最後換防火牆是一種比較好的方案。提了兩個品牌給領導審批，一個cisco的ASA，一個juniper的SRX。領導選了思科，我在此替juniper悲哀，領導一直以爲思科的交換機好用，因此就認爲思科的防火牆也很強大（其實juniper防火牆要好於思科ASA）。到思科官網去找了下， 200萬併發的產品。又電話思科問下，說是5580快停產了，購5585，性能更好，而且算上折扣，比老的5580-20還要便宜1000，那就這樣定了ASA5585-20-K9。

第一步：產品採購
訂單明細以下：

   這點東西，總計花了公司35萬人民幣。思科的服務真貴，三年就要13萬9人民幣。其實服務費，國外公司都貴，無論是思科，仍是oracle，仍是IBM小機。

第二步：驗收硬件
    與供貨商工程師一塊兒，驗收設備。大箱子是ASA5585防火牆，小箱子是冗餘電源。還購買了兩個SM多模光纖，找機房問問，說是在庫房。硬件上沒有什麼設備丟失的了，包裝也無缺，那拆箱吧。

第三步：上架前準備
3.1上冗餘電源模塊，上機箱耳朵，ASA5585防火牆像一臺dell R710服務器。

3.2機櫃騰空間
   在一個機櫃中把cisco 3825路由器下架，就空出一個2U的空間了，把ASA5585上到這。

第四步：上架
   這個時候，我傻了，電源線插頭是16A的，沒法接到機櫃的排插裏。我在購買這款產品時，特地問了思科原廠工程師，他說電源插頭是標準的，國標，因此我來北京以前，沒想過電源線的插頭有問題。找遍北京酒仙橋方圓1000米的蘇寧，大超市，五金，格力空調專賣，都沒有10A轉16A的轉換頭，沒辦法，taobao一下，發現安定門外大街的肖家衚衕43號有賣，打個的去，買了兩個轉換頭，花了20元。
打的費60塊，插頭20塊，總計花了80塊，就爲了兩個轉換頭，並浪費了我4個小時，因此你們要注意啊，高端產品的電力問題，如HP刀片機箱，IBM小機。

第五步：軟件驗收
登陸ASA5585，「show version」一下，看下里面的軟件版權與License

  根據採購單的明細表對比「show version」，發現有一項少了，即「ASA5585-SEC-PL」，其它都正常，把這個疑問登記在案，並電話供貨商的售前經理，他查了，說是合同裏沒有標明有這項，暫無論了，回深圳去對下原始合同。

第六步：功能調試
6.一、內外網路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128

Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外網路由：route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
內網路由：route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.二、設置主機名和域名：
hostname ASA5585-20
domain-name xxxx.com
6.三、設置enable密碼，命令以下：
Enable password xxxxxx //密碼當場配置時定，取8位以上
6.四、設置賬戶和密碼，命令以下：
Username xxxx password xxxx privilege 15 //爲ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登陸時的密鑰
6.五、啓用telnet和SSH訪問防火牆
telnet 0.0.0.0 0.0.0.0 inside //啓用內網的telnet
telnet timeout 5
aaa authentication enable console LOCAL //設置en認證爲本地認證
aaa authentication telnet console LOCAL //設置telnet證爲本地認證
aaa authentication ssh console LOCAL //設置SSH的認證爲本地認證
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用內部和外部接口的SSH
ssh timeout 30
ssh version 2 //設置SSH版本爲2
console timeout 0

6.六、NAT轉換及映射（8.4版）
6.6.1轉換內部服務器上網
Object network inside-outside-all  //內網服務器NAT上網
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10 

6.6.2映射www及開放端口等
Object ntwork inside-server215    //內網web服務器映射80端口到互聯網
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3開放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 ×××鏈接（8.4版）
object network szzb               //定義深圳×××組
subnet 172.16.4.0 255.25.255.0

object network bjwz              //定義北京×××組
subnet 10.98.2.0 255.255.255.0

access-list bj-sz-*** extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set ***_set esp-des esp-md5-hmac
crypto map ***_map 70 match address bj-sz-***
crypto map ***_map 70 set peer 124.114.169.xx
crypto map ***_map 70 set ikev1 transform-set ***_set

crypto map ***_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx

第七步： NAT驗證及×××參數驗證
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool

Sh crypto isakmp sa Sh crypto ipsec sa Sh crypto isakmp stats