多模式防火墙
部署建议
1.一个ASA虚拟多个防火墙Security context
2.子墙能共享物理接口(也可分子接口给不同防火墙)
3.每个子墙都有配置文件,ASA还有个系统配置文件(关于各个子墙分配)
4.防火墙模式设置会影响整个Cisco 防火墙,不能一部分路由,一部分透明
5.先改变防火墙模式(如改为透明模式),再创建子墙
6.透明模式的防火墙不能够使用共享接口
7.当使用共享接口时,要为每个子墙的共享接口指定不同的MAC地址
8.注意资源管理,防止一个子墙耗尽资源
局限性
使用子墙(多模式),不支持如下特性:
– Dynamic routing protocol (动态路由协议)
– Multicast IP routing (组播路由)
– Threat detection (威胁检测)
– ×××
– Phone proxy (电话代理)
配置
单转多时,单模式的 running configuration 将会转换到system configuration(系统配置) 和 admin.cfg(admin子墙配置,应用单模的running configuration),且保存原配置文件为old_running.cfg
在单一模式被激活接口指派到admin context。在单一模式关闭的接口将不会被指定到任何子墙。
一个新的子墙,默认没有关联接口。必须在系统配置下指派接口到子墙。在系统配置下激活一个接口。在路由模式,能够指派相同的接口到多个子墙。
一个新的子墙在你指定startup configuration存盘位置之前是不能够操作的(disk0,ftp,tftp,https)
admin context可以管理其他子墙和整个系统,也可当一个普通防火墙用,通常作为管理者
一个共享接口,对数据包分类送往不同子墙
独享
共享出接口----对从该接口出去的数据包的源ip做PAT,回来就可以根据目的IP分类
共享入接口----为每个子墙手动或动态设置mac,根据不同mac进入不同子墙
ASA-1 ASA/stby/pri(config)# show runn failover failover failover lan unit primary //将ASA-1作为primary设备 failover lan interface fo GigabitEthernet3 failover key ***** failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002 failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002 failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002 failover link fo GigabitEthernet3 failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22 failover group 1 secondary preempt failover group 2 preempt ------------------------------------------------------------------------ ASA-2 ASA/act/sec(config)# show runn failover failover failover lan unit secondary //将ASA-2作为secondary failover lan interface fo GigabitEthernet3 failover key ***** failover link fo GigabitEthernet3 failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22 failover group 1 //注意group 1 的primary是ASA-1 secondary preempt failover group 2 //group 2 的primary是ASA-2 primary preempt
完结了 又要面临选择,是否继续还是跟随热潮,有点不舍
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。