27-思科防火墙：A/S实验

一、实验拓扑：

二、实验要求：
1、2个ASA模式都为单模式、路由模式；

三、命令部署：
1、基本配置：
路由器基本配置：
R1(config)#int f0/0
R1(config-if)#no shutdown
R1(config-if)#ip add 202.100.1.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.10

R2(config)#int f0/0
R2(config-if)#no shutdown
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10
防护墙基本配置：
ASA-1(config)# show mode
Security context mode: single
ASA-1(config)# show firewall
Firewall mode: Router

ASA-2(config)# show mode
Security context mode: single
ASA-2(config)# show firewall
Firewall mode: Router
2、ASA配置步骤
第一步:正确桥接设备
两个ASA接口连接一定要一模一样

第二步:初始化Primary接口
ASA-1(config)# int g0
ASA-1(config-if)# no shutdown
ASA-1(config-if)# nameif outside
ASA-1(config-if)# security-level 0
ASA-1(config-if)# ip add 202.100.1.10 255.255.255.0 standby 202.100.1.20

ASA-1(config)# int g1
ASA-1(config-if)# no shutdown
ASA-1(config-if)# nameif inside
ASA-1(config-if)# security-level 100
ASA-1(config-if)# ip add 10.1.1.10 255.255.255.0 standby 10.1.1.20

ASA-1(config)# int g2
ASA-1(config-if)# no shutdown

ASA-2(config-if)# int g2
ASA-2(config-if)# no shutdown

第三步:配置Primary FO
指定本ASA-1为FO的Primary设备
ASA-1(config)# failover lan unit primary
指定G2为FO链路，接口名字为“fo”
ASA-1(config)# failover lan interface fo g2
（选项）加密与验证用密钥
ASA-1(config)# failover key cisco
启用FO功能
ASA-1(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20
ASA-1(config)# failover
查看failover
ASA-1(config)# show run failover
no failover
failover lan unit primary
failover lan interface fo GigabitEthernet2
failover key *****
failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20

第四步:配置Secondary FO
指定本ASA-2为FO的Secondary设备
ASA-2(config)# failover lan unit secondary
指定G2为FO链路，接口名字为“fo”
ASA-2(config)# failover lan interface fo g2
（选项）加密与验证用密钥
ASA-2(config)# failover key cisco
启用FO功能
ASA-2(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20
ASA-2(config)# failover
验证：
同步完以后，ASA-2变为了ASA-1

第五步:测试Hardware FO故障切换
不要在ASA-1上shutdown接口，因为它会同步配置，ASA-2也会shutdown接口的；
交换机也没法shutdown，只能是把VM10禁用掉；再去show failover查看状态。

状态化信息测试：R2去TelnetR1,如果有状态化信息，它是不会断的，否则就会断。

转载于:https://blog.51cto.com/13856092/2138620