最近两天配置了一台cisco的asa5580,一台华三的5100的千兆二层交换机,一台天融信的防火墙和ips,感触颇多,平常看的书虽然看的比较多,但是实践机会不多,最多的实验就是做实验。
先把这两天的配置情况作一下总结
Cisco的asa防火墙
在cisco的asa的防火墙上做了如下的配置,下面做一下分析。并将错误的地方指出来。
ciscoasa# show run
: Saved
:
ASA Version 8.1(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
interface Management0/1
shutdown
no nameif
no security-level
no ip address
management-only
!
interface GigabitEthernet3/0
shutdown
nameif outside 接口命名为outside
security-level 0 安全级别0
no ip address此处的配置米有问题,该接口将来是用来做电信线路接入的接口。
!
interface GigabitEthernet3/1
nameif inside
接口命名为inside
security-level 100 安全级别是100
ip address 10.1.0.1 255.255.255.240 此处的配置也没有问题,该接口是用来做内网的接口与核心交换机连。
!
interface GigabitEthernet3/2
nameif inside2 接口命名为inside2
security-level 0
此处安全级别应该改为100
ip address 10.1.0.17 255.255.255.240
此处配置由于马虎有了一点小小的问题,安全级别忘记改了,应该改为100,该接口也是用来做内网接口,也是用来和核心交换机相连。
!
interface GigabitEthernet3/3
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list 1 extended permit icmp any any
此处定义了一个访问控制列表,意思是要把icmp的流量放开
pager lines 24
logging asdm informational
mtu management 1500
mtu inside 1500
mtu inside2 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm p_w_picpath disk0:/asdm-615.bin
由于用asdm象征性的进入了下asa防火墙,所以asdm的软件被安装到了防火墙里。
no asdm history enable
arp timeout 14400
global (outside) 1 interface
转换地址池为外网interface地址,所有去往outside口的流量都使用地址为interface地址做转换
nat (inside) 1 0.0.0.0 0.0.0.0
为来自inside口的所有流量做nat
nat (inside2) 1 0.0.0.0 0.0.0.0
为来自inside2口的所有流量做nat
access-group 1 in interface outside 将访问控制列表1应用到了outside口上
route inside 10.0.0.0 255.0.0.0 10.1.0.2 1
route inside 10.0.0.0 255.0.0.0 10.1.0.18 2
此处应该注意,要注意对vrrp的理解 ,要注意此处的路由的配置是错误的,应该指向对端两台核心交换机的vrrp组的虚拟地址,两台核心交换机应该为防火墙配置一个单独的vrrp组,这个vrrp组是基于接口的,最后配置一条指定到vrrp组的虚拟ip地址即可。
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
此处应该关闭,不安全。
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 inside2
根据客户需求,来确定能够telnet防火墙的用户ip
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username ciscoasa5580 password 3USUcOPFUiMCO4Jk encrypted privilege 15
!
!
prompt hostname context
Cryptochecksum:ba7bdf48c9e9c193274047582e80d075
: end
ciscoasa#
天融信的防火墙
该防火墙的在配置的过程中米有遇到问题,主要是针对接口配置了一些地址,防火墙的0口将来做电信接入线路用
由于内网接口需要用到4个接口,所以也将千兆的管理接口配置成了内网口,这个地方时需要注意的。
防火墙的所有内网接口的ip地址都是根据 自己编写的《xx化工实施方案附表.xlsx》上面的地址配置的,除配置了接口地址外,并配置了接口描述,即防火墙的的各个接口的作用,例如1口是用来接1#公寓楼的,等等。
除了对接口进行了配置,也临时对各个大楼划分了一下可能会用到的vlan,写到了《xx化工实施方案附表.xlsx》中,有必要的话,可以查询该附表,划分vlan后,对防火墙配置了静态路由,针对每个vlan,指定了详细的静态路由,这个是需要注意的。
天融信的ips
该ips共使用了3个口,其中两个接核心交换机,一个接服务器区的汇聚交换机,用到的这三个接口的模式为trunk模式,即透明状态,由于ips的特征库需要升级,所以该设备需要访问互联网,将该设备加入了vlan 50 ,ip地址为10.50.0.254,要注意的是将来要在核心交换机上针对该设备配置一个单独的基于vlan接口的vrrp,以运行它访问互联网。
另外一个需要注意的一点就是该设备已经配置了类似于华为交换机的 permit vlan all的命令,此时,我们可以把该设备看做是一个二层的交换机,与核心交换机和汇聚交换机的3个接口为trunk,已经允许所有的vlan通过,但是如果需要允许vlan通过的话,还需要在该设备上增加允许通过的vlan。此处一定注意
得出一个结论,实际操作和书本上的理论知识以及平常我们敲得实验区别还是比较大的,多多实践才是硬道理。