功能
实现边界安全、区域防护
区域设计
Trust(内部)
Untrust(外部,Internet)
DMZ(非军事化区域) 用于隔壁服务器
从inside到outside允许,即从高安全级别到低安全级别允许
从outside到inside禁止,低到高禁止
相同级别禁止
3种模式
透明模式:透明的,感觉不到它的存在,不需要改拓扑,接口无IP
路由模式:相当于路由器,完成ACL包过滤,NAT转换,接口有IP
混合模式:实际均为混合
Failover
Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备宕机时,备用设备能够马上接管主设备的工作,从而保持通信的连通性。
(类似于冗余)
Hareware failover
正常情况下经过active,已建立需要断开重新连接
Stateful failover
Cable-based
1.一端为primary 一端为secondary
2.115Kbps
Lan-based
1.ASA支持 2.双绞线 3.状态链路
Active选举过程:
Primary变为active secondary变为standby
切换
Standby设备继承active
实验:
1(最左)
Int f 0/0
ip add 10.1.1.1 255.255.255.0
no sh
exi
3(最右)
Int f 0/0
Ip add 20.1.1.1 255.255.255.0
R18为交换机,不需要配置
ASA/ASA2:
Enable
Config t
Sh firewall (router)
Sh mode
Mode single //修改模式
ASA1是net 2345
2是 67910
ASA
Int e0
No sh
Nameif inside //需要在single模式下
Ip add 10.1.1.100 255.255.255.0 standby 10.1.1.200
Int e1
Nameif outside
No sh
Ip add 20.1.1.100 255.255.255.0 standby 20.1.1.200
Int e2
No sh
Exi
Failover lan unit primary
Failover lan interface FO g2
Failover interface ip FO 192.168.1.100 255.255.255.0 standby 192.168.1.200
Failover //启用failover 功能
ASA2
Int e2
No sh
Exi
Failover lan unit secondary
Failover lan interface FO g2
Failover interface ip FO 192.168.1.100 255.255.255.0 standby 192.168.1.200 //配置IP地址
Failover //启用failover功能
(end configuration replicate from mate)在同步
Standby的g0 g1口不需要手工配置ip地址,会自动同步
Sh int ip b 查看ip
Sh failover
(failover on //启动
Failover unit primary //是primary
This host :primary – active //这台是primary,活跃状态
Other host:Secondary -Standby Ready//另一台是Secondary,备份设备,准备状态
测试:
R2
Line vty 0 4
Pass 123 //开启远程登录
R1
no ip routing
ip default-gateway 10.1.1.100
R2
Ip default-ga 20.1.1.100
R1
TEL 20.1.1.1
A1
Sh conn //有连接
A2 无连接
说明流量现在走的是active
切换:showdown掉交换机连接ASA1的outside口
R3
INT F 0/2
SH
ASA2
Switching to active //切换到active
1变成了standby
1 show conn 连接自动断开 idle超时
如果需要切换:手动切换: failover active
A1
Int g 3
Failover link stateful g3
Failover interface ip stateful 192.168.2.100 standby …200
状态化不会断开
