1.3 mod host lena pro 思科防火墻 link ip地址 let

一、實驗拓撲：

二、實驗要求：
1、2個ASA都為多模式、路由模式；
2、ASA1、ASA2打開5個接口：no shutdown；因為都要做子防火墻；
3、2個ASA的子防火墻的配置其實是一摸一樣的；
4、ASA1的配置：admin-context admin；delete flash:admin.cfg；
context c1:allocate-interface g0；allocate-interface g1；config-url flash:c1.cfg
context c2:allocate-interface g2；allocate-interface g3；config-url flash:c2.cfg
查看：show run context

changeto context c1： int g0, no shutdown,nameif outside;security-level 0; ip add 202.100.1.10 standby 202.100.1.20
int g1 no shutdown,nameif inside;security-level 100; ip add 10.1.1.10 standby 10.1.1.20
查看：show int ip bri

changeto context c2： int g2, no shutdown,nameif outside;security-level 0; ip add 202.100.2.10 standby 202.100.2.20

int g3 no shutdown,nameif inside;security-level 100; ip add 10.1.2.10 standby 10.1.2.20
查看：show int ip bri

changeto context sys
ASA1創建FO group:（ASA2相反：組1為Seconday、組2為primary）
failover group 1
primary
Preempt 默認搶占就是開啟的
failover group 2
secondary
preempt
查看show run failover
ASA2創建FO group:
failover group 1
secondary Preempt 默認搶占就是開啟的

failover group 2
primary
preempt
查看show run failover

然後組合虛擬防火墻關聯在一起
context c1
join‐failover‐group 1
context c2
join‐failover‐group 2

接下來：
查看：show run context，然後復制粘貼到ASA2，再繼續show run context驗證下是否一樣

最後在做FO的配置：
ASA1：
failover lan unit primary
failover lan interface FO G4
failover link FO G4
failover key cisco
failover interface ip FO192.168.1.10 255.255.255.0 standby
192.168.1.20
ASA2：
failover lan unit secondary
failover lan interface FO G4
failover link FO G4
failover key cisco
failover interface ip FO192.168.1.10 255.255.255.0 standby
192.168.1.20

做完以後保證ASA2所有接口保持打開狀態就可以
ASA1:failover
ASA2:failover

查看狀態：show failover
ASA2：failover active group 2 //搶過來

ASA1:changeto context c1:ping 202.100.1.1/ping 10.1.1.3
ASA2:changeto context c2:ping 202.100.2.2/ping 10.1.2.3

R3要訪問R1或者R2有相應的路由就可以搞定：
R3：ip route 0.0.0.0 0.0.0.0 10.1.1.10 //R1開啟 line vty 0 4 password aa login

在ASA1的C1子防火墻做一個端口NAT:
object network inside
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface

R3遠程登錄R1，因為R3有默認路由到ASA，R1不需要默認路由，只需要包能到達ASA的G0口就可以了。
R3 telnet 202.100.1.1 show users 源地址為：202.100.1.10

同理：R3去訪問R2
R3 :ip route 202.100.2.0 255.255.255.0 10.1.2.10
R2:line vty 0 6 password aa login
ASA2:Changeto context c2
object network inside2
subnet 10.1.2.0
nat (inside,outside) dynamic interface
R3:telnet 202.100.2.2 show users 202.100.2.10

異步路由問題：
3.3.3.3訪問1.1.1.1的一步路由問題：經過ASA的c1，到達R1的1.1.1.1，然後經過R2、ASA2再回到R3，這樣其實也通不了：就是因為有異步路由。其實做Bypass可以，但是這樣ASA就沒意義了。
解決方法：R2到ASA2的C2後，通過內部操作到達ASA2的c1，其實c1是standby的方式。c1通過ASA2的G0口發回來，然後從ASA1的c1進來。ASA2的c1是standby沒關系，只要能把流量發給ASA1的主用c1就可以。
ASA1：route outside 1.1.1.0 255.255.255.0 202.100.1.1
R1：ip route 3.3.3.3.0 255.255.255.0 12.1.1.2
R2:ip route 3.3.3.0 255.255.255.0 202.100.2.10
ASA2 c2:route inside 3.3.3.0 255.255.255.0 10.1.2.3
ASA2 C2: access-list out extended permit ip any any
access-group out in interface outside
流量放行了，路由也有了：
R3：telnet 1.1.1.1 /source interface loopback 0
會發現這個流量通不了的：原因就是因為序列號的原因，ASA1出去的序列號和ASA2回來的序列號是一樣的
ASA2 C2:show access-list 可以看到有匹配項

解決方法：
ASR‐Group配置
C1 Active:
ASA1/c1(config)# interface G0
ASA1/c1(config‐if)# asr‐group 1
C2 Active:
ASA2/c2(config)# interface G2
ASA2/c2(config‐if)# asr‐group 1
補一條：ASA/c1 route inside 3.3.3.0 255.255.255.0 10.1.1.3
R3:telnet 1.1.1.1 show users 3.3.3.3
這時候可以刪掉ASA2/c2 的組：interface G2；no asr-group 1，再去telnet 1.1.1.1，這時候就不行了

總結：跨越虛擬防火墻、跨越物理防火墻，思科防火墻可能覺得有這個問題，所以有這種技術；華為的防火墻不可以這麽做，它的防火墻兩個虛擬防火墻完全物理隔絕的，當然思科也是物理隔絕的，只不過思科有組這個例外，華為防火墻就沒有這個例外了。
三、命令部署：
1、路由基本配置IP地址、環回口：
R1(config)#int lo0
R1(config-if)#ip add
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config)#int f0/0
R1(config-if)#no shutdown
R1(config-if)#ip add 202.100.1.1 255.255.255.0
R1(config)#int f1/0
R1(config-if)#no shutdown
R1(config-if)#ip add 12.1.1.1 255.255.255.0

R2(config-if)#int f0/0
R2(config-if)#no shutdown
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config)#int f1/0
R2(config-if)#no shutdown
R2(config-if)#ip add 202.100.2.2 255.255.255.0

R3(config)#int f0/0
R3(config-if)#no shutdown
R3(config-if)#ip add 10.1.1.3 255.255.255.0
R3(config)#int f1/0
R3(config-if)#no shutdown
R3(config-if)#ip add 10.1.2.3 255.255.255.0
R3(config)#int lo0
R3(config-if)#ip add 3.3.3.3 255.255.255.0

2、ASA基本配置：多模式、路由器等：
ASA1# show mode
Security context mode: multiple
ASA1# show firewall
Firewall mode: Router

ASA2# show mode
Security context mode: multiple
ASA2# show firewall
Firewall mode: Router

3、ASA1、ASA2打開所有接口，為接下來做子防火墻做準備：
ASA1(config)# int g0
ASA1(config-if)# no shutdown
ASA1(config-if)# int g1
ASA1(config-if)# no shutdown
ASA1(config-if)# int g2
ASA1(config-if)# no shutdown
ASA1(config-if)# int g3
ASA1(config-if)# no shutdown
ASA1(config-if)# int g4
ASA1(config-if)# no shutdown

ASA2(config)# int g0
ASA2(config-if)# no shutdown
ASA2(config-if)# int g1
ASA2(config-if)# no shutdown
ASA2(config-if)# int g2
ASA2(config-if)# no shutdown
ASA2(config-if)# int g3
ASA2(config-if)# no shutdown
ASA2(config-if)# int g4
ASA2(config-if)# no shutdown

4、2個ASA的子防火墻的配置其實是一模一樣的：
ASA1配置：
ASA1(config)# delete flash:admin.cfg
Delete filename [admin.cfg]?
Delete disk0:/admin.cfg? [confirm] //刪除之前的管理子防火墻文件admin.cfg

ASA1(config)# admin-context admin //配置管理子防火墻admin
ASA1(config)# context c1 //配置子防火墻c1
ASA1(config-ctx)# allocate-interface g0
ASA1(config-ctx)# allocate-interface g1
ASA1(config-ctx)# config-url flash:c1.cfg
ASA1(config)# context c2
ASA1(config-ctx)# allocate-interface g2
ASA1(config-ctx)# allocate-interface g3
ASA1(config-ctx)# config-url flash:c2.cfg
配置完成後查看驗證：
ASA1(config)# show run context
admin-context admin
context admin
config-url disk0:/admin.cfg
context c1
allocate-interface GigabitEthernet0
allocate-interface GigabitEthernet1
config-url disk0:/c1.cfg
context c2
allocate-interface GigabitEthernet2
allocate-interface GigabitEthernet3
config-url disk0:/c2.cfg

配置子防火墻接口地址、內外、安全級別等：
ASA1(config)# changeto context c1
ASA1/c1(config)# int g0
ASA1/c1(config-if)# no shutdown
ASA1/c1(config-if)# nameif outside
ASA1/c1(config-if)# security-level 0
ASA1/c1(config-if)# ip add 202.100.1.10 255.255.255.0 standby 202.100.1.20

ASA1/c1(config)# int g1
ASA1/c1(config-if)# no shutdown
ASA1/c1(config-if)# nameif inside
ASA1/c1(config-if)# security-level 100
ASA1/c1(config-if)# ip add 10.1.1.10 255.255.255.0 standby 10.1.1.20
查看驗證：
ASA1/c1(config)# show int ip bri
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 202.100.1.10 YES manual up up
GigabitEthernet1 10.1.1.10 YES manual up up

ASA1/c1(config)# changeto context c2
ASA1/c2(config)# int g2
ASA1/c2(config-if)# no shutdown
ASA1/c2(config-if)# nameif outside
ASA1/c2(config-if)# security-level 0
ASA1/c2(config-if)# ip add 202.100.2.10 255.255.255.0 standby 202.100.2.20

ASA1/c2(config)# int g3
ASA1/c2(config-if)# no shutdown
ASA1/c2(config-if)# nameif inside
ASA1/c2(config-if)# security-level 100
ASA1/c2(config-if)# ip add 10.1.2.10 255.255.255.0 standby 10.1.2.20
查看驗證：
ASA1/c2(config)# show int ip bri
Interface IP-Address OK? Method Status Protocol
GigabitEthernet2 202.100.2.10 YES manual up up
GigabitEthernet3 10.1.2.10 YES manual up up

配置Failover Group
ASA1/c2(config)# changeto context sys
ASA1(config)# failover group 1
ASA1(config-fover-group)# primary
ASA1(config-fover-group)# preempt

ASA1(config)# failover group 2
ASA1(config-fover-group)# secondary
ASA1(config-fover-group)# preempt
查看驗證：
ASA1(config)# show run failover
no failover
failover group 1
preempt
failover group 2
secondary
preempt

ASA2(config)# failover group 1
ASA2(config-fover-group)# secondary
ASA2(config-fover-group)# preempt

ASA2(config)# failover group 2
ASA2(config-fover-group)# primary
ASA2(config-fover-group)# preempt

關聯虛擬防火墻和Failover Group：
ASA1(config)# context c1
ASA1(config-ctx)# join-failover-group 1

ASA1(config)# context c2
ASA1(config-ctx)# join-failover-group 2
查看context配置，並粘貼到ASA2：
ASA1(config)# show run context
admin-context admin
context admin
config-url disk0:/admin.cfg
context c1
allocate-interface GigabitEthernet0
allocate-interface GigabitEthernet1
config-url disk0:/c1.cfg
join-failover-group 1
context c2
allocate-interface GigabitEthernet2
allocate-interface GigabitEthernet3
config-url disk0:/c2.cfg
join-failover-group 2
ASA2粘貼後查看：
ASA2(config)# show run context
admin-context admin
context admin
config-url disk0:/admin.cfg
context c1
allocate-interface GigabitEthernet0
allocate-interface GigabitEthernet1
config-url disk0:/c1.cfg
join-failover-group 1
context c2
allocate-interface GigabitEthernet2
allocate-interface GigabitEthernet3
config-url disk0:/c2.cfg
join-failover-group 2

5、最後在做Failover的配置：
ASA1(config)# failover lan unit primary
ASA1(config)# failover lan interface FO g4
ASA1(config)# failover link FO g4
ASA1(config)# failover key cisco
ASA1(config)# failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20

ASA2(config)# failover lan unit secondary
ASA2(config)# failover lan interface FO g4
ASA2(config)# failover link FO g4
ASA2(config)# failover key cisco
ASA2(config)# failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20
確保ASA2的接口處於打開狀態後，開啟Failover功能：
ASA1(config)# failover
ASA2(config)# show failover
查看驗證：
ASA1(config)# show failover
ASA2(config)# show failover

自動協商有問題，手動調整：
ASA1(config)# failover active group 1
ASA2(config)# failover active group 2

測試：
ASA1(config)# changeto context c1
ASA1/c1(config)# ping 202.100.1.1 //可以Ping通
ASA1/c1(config)# ping 10.1.1.3 //可以Ping通

ASA2(config)# changeto context c2
ASA2/c2(config)# ping 202.100.2.2 //不能Ping通，和剛剛的Failover失敗有關系
ASA2/c2(config)# ping 10.1.2.3 //不能Ping通，和剛剛的Failover失敗有關系

測試1：
R3要訪問R1或者R2有相應的路由就可以搞定：
R3(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10 //默認路由到ASA1的c1接口地址
R1(config)#line vty 0 4
R1(config-line)#password aa
R1(config-line)#login

在ASA1的C1子防火墻做一個端口NAT:
ASA1/c1(config)# object network inside
ASA1/c1(config-network-object)# subnet 10.1.1.0 255.255.255.0
ASA1/c1(config-network-object)# nat (inside,outside) dynamic interface

R3遠程登錄R1，因為R3有默認路由到ASA，R1不需要默認路由，只需要包能到達ASA的G0口就可以：
R3#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
User Access Verification
Password:
R1>show users
Line User Host(s) Idle Location
0 con 0 idle 00:01:53
*130 vty 0 idle 00:00:00 202.100.1.10

同理：R3去訪問R2
R3(config)#ip route 202.100.2.0 255.255.255.0 10.1.2.10 //靜態路由到ASA2的c2子防火墻地址
R2(config)#line vty 0 6
R2(config-line)#password aa
R2(config-line)#login

ASA2/c2(config)# object network inside2
ASA2/c2(config-network-object)# subnet 10.1.2.0 255.255.255.0
ASA2/c2(config-network-object)# nat (inside,outside) dynamic interface
R3#telnet 202.100.2.10 //？？？
R2> show users //202.100.2.10 ？？？

異步路由問題：
3.3.3.3訪問1.1.1.1的一步路由問題：經過ASA的c1，到達R1的1.1.1.1，然後經過R2、ASA2再回到R3。
這樣其實也通不了：就是因為有異步路由。其實做Bypass可以，但是這樣ASA就沒意義了。
命令部署：
ASA1/c1(config)# route outside 1.1.1.0 255.255.255.0 202.100.1.1 //ASA1中的c1子防火墻去往1.1.1.1的路由
R1(config)#ip route 3.3.3.0 255.255.255.0 12.1.1.2 //R1去往3.3.3.3的路由，下一跳為R2連接的接口地址
R2(config)#ip route 3.3.3.0 255.255.255.0 202.100.2.10 //R2去往3.3.3.3的路由，下一跳為ASA2中的c2子防火墻地址；
ASA2/c2(config)# route inside 3.3.3.0 255.255.255.0 10.1.2.3 //ASA2中的c2去往3.3.3.3的路由，下一跳為R3連接的接口地址

ASA2/c2(config)# access-list out extended permit ip any any
ASA2/c2(config)# access-group out in interface outside

流量放行了，路由也有了：
R3#telnet 1.1.1.1 /source-interface loopback 0
Trying 1.1.1.1 ...
% Connection timed out; remote host not responding

結果：這個流量通不了的：原因就是因為序列號的原因，ASA1出去的序列號和ASA2回來的序列號是一樣的
ASA2/c2(config)# show access-list // 可以看到有匹配項，但是就是不通的。

解決方法：
R2到ASA2的C2後，通過內部操作到達ASA2的c1，其實c1是standby的方式。c1通過ASA2的G0口發回來，然後從ASA1的c1進來。ASA2的c1是standby沒關系，只要能把流量發給ASA1的主用c1就可以。

ASR‐Group配置
C1 Active:
ASA1/c1(config)# interface g0
ASA1/c1(config-if)# asr-group 1
C2 Active:
ASA2/c2(config)# interface g2
ASA2/c2(config-if)# asr-group 1

補一條：ASA1/c1(config)# route inside 3.3.3.0 255.255.255.0 10.1.1.3
R3#telnet 1.1.1.1 show users 3.3.3.3
這時候可以刪掉ASA2/c2 的組：interface G2；no asr-group 1，再去telnet 1.1.1.1，這時候就不行了

總結：跨越虛擬防火墻、跨越物理防火墻，思科防火墻可能覺得有這個問題，所以有這種技術；華為的防火墻不可以這麽做，它的防火墻兩個虛擬防火墻完全物理隔絕的，當然思科也是物理隔絕的，只不過思科有組這個例外，華為防火墻就沒有這個例外了。

28-思科防火墻：狀態化AA