您好,登錄后才能下訂單哦!
多模式防火墻
部署建議
1.一個ASA虛擬多個防火墻Security context
2.子墻能共享物理接口(也可分子接口給不同防火墻)
3.每個子墻都有配置文件,ASA還有個系統配置文件(關于各個子墻分配)
4.防火墻模式設置會影響整個Cisco 防火墻,不能一部分路由,一部分透明
5.先改變防火墻模式(如改為透明模式),再創建子墻
6.透明模式的防火墻不能夠使用共享接口
7.當使用共享接口時,要為每個子墻的共享接口指定不同的MAC地址
8.注意資源管理,防止一個子墻耗盡資源
局限性
使用子墻(多模式),不支持如下特性:
– Dynamic routing protocol (動態路由協議)
– Multicast IP routing (組播路由)
– Threat detection (威脅檢測)
– ×××
– Phone proxy (電話代理)
配置
單轉多時,單模式的 running configuration 將會轉換到system configuration(系統配置) 和 admin.cfg(admin子墻配置,應用單模的running configuration),且保存原配置文件為old_running.cfg
在單一模式被激活接口指派到admin context。在單一模式關閉的接口將不會被指定到任何子墻。
一個新的子墻,默認沒有關聯接口。必須在系統配置下指派接口到子墻。在系統配置下激活一個接口。在路由模式,能夠指派相同的接口到多個子墻。
一個新的子墻在你指定startup configuration存盤位置之前是不能夠操作的(disk0,ftp,tftp,https)
admin context可以管理其他子墻和整個系統,也可當一個普通防火墻用,通常作為管理者
一個共享接口,對數據包分類送往不同子墻
獨享
共享出接口----對從該接口出去的數據包的源ip做PAT,回來就可以根據目的IP分類
共享入接口----為每個子墻手動或動態設置mac,根據不同mac進入不同子墻
ASA-1 ASA/stby/pri(config)# show runn failover failover failover lan unit primary //將ASA-1作為primary設備 failover lan interface fo GigabitEthernet3 failover key ***** failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002 failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002 failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002 failover link fo GigabitEthernet3 failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22 failover group 1 secondary preempt failover group 2 preempt ------------------------------------------------------------------------ ASA-2 ASA/act/sec(config)# show runn failover failover failover lan unit secondary //將ASA-2作為secondary failover lan interface fo GigabitEthernet3 failover key ***** failover link fo GigabitEthernet3 failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22 failover group 1 //注意group 1 的primary是ASA-1 secondary preempt failover group 2 //group 2 的primary是ASA-2 primary preempt
完結了 又要面臨選擇,是否繼續還是跟隨熱潮,有點不舍
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。