firewall 同步 拓撲 sco process 鏈路 信息 proc wall

一、實驗拓撲:
技術分享圖片
二、實驗要求:
1、2個ASA模式都為單模式、路由模式;

三、命令部署:
1、基本配置:
路由器基本配置:
R1(config)#int f0/0
R1(config-if)#no shutdown
R1(config-if)#ip add 202.100.1.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.10

R2(config)#int f0/0
R2(config-if)#no shutdown
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10
防護墻基本配置:
ASA-1(config)# show mode
Security context mode: single
ASA-1(config)# show firewall
Firewall mode: Router

ASA-2(config)# show mode
Security context mode: single
ASA-2(config)# show firewall
Firewall mode: Router
2、ASA配置步驟
第一步:正確橋接設備
兩個ASA接口連接一定要一模一樣

第二步:初始化Primary接口
ASA-1(config)# int g0
ASA-1(config-if)# no shutdown
ASA-1(config-if)# nameif outside
ASA-1(config-if)# security-level 0
ASA-1(config-if)# ip add 202.100.1.10 255.255.255.0 standby 202.100.1.20

ASA-1(config)# int g1
ASA-1(config-if)# no shutdown
ASA-1(config-if)# nameif inside
ASA-1(config-if)# security-level 100
ASA-1(config-if)# ip add 10.1.1.10 255.255.255.0 standby 10.1.1.20

ASA-1(config)# int g2
ASA-1(config-if)# no shutdown

ASA-2(config-if)# int g2
ASA-2(config-if)# no shutdown

第三步:配置Primary FO
指定本ASA-1為FO的Primary設備
ASA-1(config)# failover lan unit primary
指定G2為FO鏈路,接口名字為“fo”
ASA-1(config)# failover lan interface fo g2
(選項)加密與驗證用密鑰
ASA-1(config)# failover key cisco
啟用FO功能
ASA-1(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20
ASA-1(config)# failover
查看failover
ASA-1(config)# show run failover
no failover
failover lan unit primary
failover lan interface fo GigabitEthernet2
failover key *****
failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20

第四步:配置Secondary FO
指定本ASA-2為FO的Secondary設備
ASA-2(config)# failover lan unit secondary
指定G2為FO鏈路,接口名字為“fo”
ASA-2(config)# failover lan interface fo g2
(選項)加密與驗證用密鑰
ASA-2(config)# failover key cisco
啟用FO功能
ASA-2(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20
ASA-2(config)# failover
驗證:
同步完以後,ASA-2變為了ASA-1

第五步:測試Hardware FO故障切換
不要在ASA-1上shutdown接口,因為它會同步配置,ASA-2也會shutdown接口的;
交換機也沒法shutdown,只能是把VM10禁用掉;再去show failover查看狀態。

狀態化信息測試:R2去TelnetR1,如果有狀態化信息,它是不會斷的,否則就會斷。

27-思科防火墻:A/S實驗