failover技术

ASA failover全系列2-ASA LAN base A/S failover（路由模式）2008-12-20 9:35

primary的配置：

Int e0

Ip add 172.16.1.1 255.255.255.0 standby 172.16.1.2

Int e1

Ip add 192.168.1.1 255.255.255.0 standby 192.168.1.2

Exit

Failover lan enable

//若是PIX，就要配置这一条，启用LAN based failover，ASA不需要这一条Failover lan unit primary

//指定这个防火墙是primary防火墙

Failover lan interface failover e2

//指定failover接口是e2,并命名为failover

Failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 //指定名字为failover接口的IP

Failover link state e3

//指定state接口的为e3，并命名为state

Failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

//指定名字为state的接口IP

Failover

//启动failover

secondary的配置(只需要配置failover接口，其他都会从primary学习到) failover

failover lan unit secondary

failover lan interface failover Ethernet3

failover lan enable

failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 //配置和active相同！

show：

Sh failover

show failover state

Sh monitor-interface

Sh run failover

测试命令：

强制standby防火墙变为acitve：

在standby上输入

#failover active

或者

在active上输入

#no failover staive

?关闭failover #no failover

?Failover reset ?Debug fover

Oracle数据库连接的failover配置

Failover的连接配置 刘伟 以下内容参考了官方文档。这里的failover，是指应用发起一个数据库连接以后，如果工作过程中该连接所连到的实例发生了故障，连接可以自动切换到正常节点，从而最小化对业务的影响。 根据Oracle的介绍，我们有两种连接方式可以实现数据库连接的failover: TAF和FCF 1. TAF TAF的全称是Transparent Application Failover，即透明应用故障切换。 按照官方文档的描述，TAF让Oracle Net将一个失效的连接从故障点转移到另一个监听上，用户能使用这个新的连接来继续未完成的工作。 TAF可以配置为使用client端的(Transparent Network Substrate)TNS连接字符串来连接，或者使用server端的服务。如果两种方式同时使用，则使用server端的服务配置。 TAF可以工作在两种模式下：session failover和select failover。前者在failover时会重建失败的连接，后者则能够继续进程中未完成的查询(如果failover前一个session正在从一个游标中获取数据，则新的session将在相同的snapshot下重新运行select语句，并返回余下的行)。如果failover时，session执行了DML操作且未提交，则failover后，若不执行rollback 回滚而执行新的操作，将会收到一条错误信息ORA-25402: transaction must roll back TAF在dataguard中使用，可以自动进行failover 一个典型的使用了TAF的TNS连接串如下： NEWSDB = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = rac1-vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = rac2-vip)(PORT = 1521)) (LOAD_BALANCE = yes) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = dyora) (FAILOVER_MODE = (TYPE = SELECT) (METHOD = BASIC) (RETRIES = 180) (DELAY = 5) ) ) )

gns3下ASA配置运行初步

GNS3 搭建本地ASA并使用ASDM管理 实验环境： 本地ASA 的IP 地址127.0.0.1（本地ASA 使用） GNS3 0.7.3 Fiddler2 本地TOP 搭建： 1、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是 asa802-k8.bin.unpacked.vmlinuz，启动文件initrd 使 用单模式ASA，请下载asa802-k8-sing.gz；使用多模式ASA 请下载 asa802-k8-muti.gz。 两个initrd 文件中所加载的网卡为e100 和e1000，所用文件可以到本文附件下载， 打开GNS3，新建一个工程，命名为ASA。之后选择“编辑”-->“首选项”-->“qemu” 对“General Setting”做如图所示的配置：

之后配置ASA 选项卡，如图:

2、拖入ASA，分别新建ASA1 和ASA2,TOP 如下：

启动两个ASA 可以看到两个QEMU 窗口 由于是初次运行，点“console”登录后，看到内核初始化：

回到命令提示符后，请等大概1 分钟左右(为了防止出现其它问题，请按我说的做)，等待FLASH 文 件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大 概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行 /mnt/disk0/lina_monitor 使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后，执行 /mnt/disk0/lina –m

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

实验八(一) ASA 配置 NAT 和 ACL

实验八ASA 配置NAT 和ACL 实验拓扑 实验要求 1 配置PAT，实现inside 区域内主机访问internet 2 配置静态地址转换，实现DMZ 区域主机172.16.2.1 转换为202.100.0.102 3 配置Identity NAT，实现172.16.100.2 访问inside 时，使用本ip地址 4 配置ACL，实现DMZ 区域内主机只允许icmp，telnet 流量访问去往inside 区域 5 配置ACL，实验inside 区域内主机192.168.1.1 不允许去往任何地址，只能在本区域访问 实验步骤 步骤2 根据设备表，配置ASA 和路由器的接口IP 地址 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface loopback 0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit

R2(config)#interface fastEthernet 0/0 R2(config-if)#ip address 172.16.100.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface loopback 0 R2(config-if)#ip address 172.16.2.1 255.255.255.0 R2(config-if)#exit R3(config)#interface fastEthernet 0/0 R3(config-if)#ip address 202.100.0.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface loopback 0 R3(config-if)#ip address 123.123.123.123 255.255.255.0 R3(config-if)#exit ciscoasa(config)# interface ethernet 0/0 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip address 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/1 ciscoasa(config-if)# nameif DMZ INFO: Security level for "DMZ" set to 0 by default. ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 172.16.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 202.100.0.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 测试连通性： ciscoasa(config)# ping 192.168.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ciscoasa(config)# ping 172.16.100.2 Type escape sequence to abort.

ASA双主Failover配置操作

ASA Active/Acitve FO 注：以下理论部分摘自百度文库： ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。在每个物理设备上配置两个Failover组（failover group），且最多配置两个。 Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。 不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。 带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。 Failover link 两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。以下信息是通过failover link通信的信息： ●设备状态（active or standby）； ●电源状态（只用于基于线缆的failover；） ●Hello messages （keep-alives）； ●Network link 状态； ●MAC地址交换； ●配置的复制和同步； （Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；） Stateful link 在stateful link上，拷贝给备用设备的连接状态信息有： ●NAT 转换表； ●TCP连接状态； ●UDP连接状态； ●ARP表 ●2层转发表（运行在透明模式的时候） ●HTTP连接状态信息（如果启用了HTTP复制） ●ISAKMP和IPSec SA表 ●GTP PDP连接数据库 以下信息不会拷贝给备用设备： ●HTTP连接状态信息（除非启用了HTTP复制） ●用户认证表（uauth） ●路由表

Asa配置大全

1、ASA基本配置 静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99 配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside 配置telnet超时时间：telnet timeout 5 配置本地认证telnet与console：aaa authentication telnet console LOCAL 配置SSH生成密钥对： aaa authentication ssh console LOCAL ciscoasa(config)# crypto key generate rsa INFO: The name for the keys will be: Keypair generation process begin. Please wait... ciscoasa(config)# 配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside 配置允许ASDM管理： http server enable http 192.168.10.0 255.255.255.0 inside asdm image disk0:/asdm-602.bin username cisco password cisco privilege 15 配置PAT： nat (inside) 1 192.168.10.0 255.255.255.0 global (outside) 1 interface 配置端口映射： access-list to_server extended permit tcp any host 192.168.1.99 eq www access-group to_server in interface outside static (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255 配置ACL： access-list to_server extended permit tcp any host 192.168.1.99 eq www access-group to_server in interface outside 配置允许ICMP穿越： policy-map global_policy class inspection_default inspect icmp 配置URL过滤： url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5 filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow

DHCP FAILOVER 细节

DHCP Failover的实现细节 RFC 2131的工作机制 RFC 2131定义了三种类型的服务器到服务器的信号：服务器租用同步信号、操作状态信号（问候包）及“我回来了”信号（主服务器从死机状态恢复）。 冗余DHCP服务器遵循RFC 2131 DHCP故障恢复草案通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时，主、次服务器间会有连续的信息流。用来交流租用信息的信号有三种： 添加信号，当主服务器分发出一个新租约时，主服务器发送到次服务器的信号；刷新信号，当租约有变化时（如更新/扩充），每台服务器发送的信号； 删除信号，当租约期满，地址又成为可用的了，服务器发送的信号。 在所有情况下，接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求DHCP客户处理完毕后才发送给另一台服务器。 除了维护当前的租用信息数据库外，次服务器还必须留意主服务器，以便得知何时取代租用的分发。这一功能由监视两台服务器的TCP连接来实现。次服务器使用三个标准以确定它和主服务器的连接是否满意： 1.必须能建立TCP连接； 2.必须接收到主服务器发送的连接信号，并以连接认可响应； 3.必须接收到主服务器发出的状态信号，用它来确定自己的操作状态。 failover协议允许两台DHCP服务器（不能多于2台）共享一个公共的地址池。在任何时刻，每台服务器都拥有地址池中一半的可用地址用来分配给客户端。如果其中一台服务器失效，另一台服务器在与失效的服务器通讯之前会继续从池中renew地址，并且会从它拥有的那一半可用地址中分发新地址给客户端。 如果一台服务器启动时没有预先通知它的failover伙伴, 那么在它对外提供服务以前必须与failover伙伴建立通讯，并且进行同步。这个过程当你首次

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.wendangku.net/doc/5112896377.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。

CiscoASAFailover防火墙冗余

Failover Failover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。 原理 前提需要两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫）。该技术用到的两台设备分为Active设备（Primary）和Stanby设备（Secondary）,这种冗余也可以叫AS模式。活跃机器处于在线工作状态，备用处于实时监控活跃设备是否正常。当主用设备发生故障后（接口down，设备断电），备用设备可及时替换，替换为Avtive的角色。Failover启用后，Primary 设备会同步配置文件文件到Secondary设备，这个时候也不能在Scondary添加配置，配置必须在Active进行。远程管理Failover设备时，登录的始终是active设备这一点一定要注意，可以通过命令（show failover）查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步，比如NAT转换需要再次建立。 配置Active设备： interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址

interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名，可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错； 将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备： ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit

ASA配置笔记

ASA5505配置笔记 一、常用基本功能配置实验 1、升级IOS ASA5505#copy tftp flash 应用新IOS ASA5505(config)# boot system flash:asa902-k8.bin ASA5505(config)# asdm image flash:/asdm-602.bin ASA5505(config)# exit ASA5505#reload 重启后按ESC键进入RMMON1>boot 引导即可 2、配置IP地址 ASA5505(config)# interface E0/0 ASA5505(config-if)# no shutdown ASA5505(config)#interface vlan 1 ASA5505(config-if)# nameif inside ASA5505(config-if)#end 3、开启ASDM功能配置 ASA5505(config)# username test password test privilege 15 //创建15级帐户 ASA5505(config)# http server enable //开启http server ASA5505(config)# http 192.168.2.69 255.255.255.255 inside //设定http的访问用户 4、PPPoE自动拔号设置 ASA5505(config)# vpdn group hangzhou request dialout pppoe ASA5505(config)# vpdn group hangzhou localname hzhzshuangquan ASA5505(config)# vpdn group hangzhou ppp authentication pap ASA5505(config)# vpdn username hzhzshuangquan password ********* ASA5505(config)# mtu outside 1492 ASA5505(config-if)# interface Vlan2 ASA5505(config-if)# nameif outisde ASA5505(config-if)# security-level 0 ASA5505(config-if)# ip address pppoe setroute 5、配置基于端口的NAT (PAT) ASA5505(config)# global (outisde) 111 interface ASA5505(config)# nat (inside) 111 0.0.0.0 0.0.0.0

生产数据库FailOver配置方法

配置方法（客户端方式 方式） 生产数据库 FailOver 配置方法（客户端方式）
生产数据库采用的是双实例的 Oracle RAC 数据库，在其中任一实例出现计划内或非 计划 shutdown 的时候，另一个实例可以接管失败实例的全部或部分业务（与主机资源相 关）。
生产应用实现 FailOver 的配置方法如下：
一、去掉生产数据库服务端负载均衡配置 去掉生产数据库服务端负载均衡配置 生产数据库
生产数据库在安装 Oracle RAC 环境的时候，服务端配置了负载均衡，用于将客户端 连接均衡负载到 RAC 的两个实例， 国庆调整后， Tuxedo 和 WebLogic 中间件均采用了 “大 厅客户端连接实例一，WEB 应用连接实例二”的方式，因而没有使用数据库服务端负载均 衡。 本次为了使用 RAC 的 FailOver 功能，并且同一应用的多个客户端连接不被分别连接 到实例一和实例二，需要去掉数据库服务端的负载均衡配置。 停止数据库服务端负载均衡配置只需修改 remote_listener 参数 （该参数为动态参数， 可被在线修改），语法如下： 以 oracle 用户登录实例一的操作系统 $ sqlplus / as sysdba SQL> alter system set remote_listener=’’ scope=both;
二、Tuxedo 中间件侧的 FailOver 配置
1、需要修改三个 Tuxedo 中间件分区的 tnsnames.ora 文件的 TAXP 的配置信息， 调整对应 TAXP 节为如下内容：
TAXP = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb1_vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb2_vip)(PORT = 1521)) (LOAD_BALANCE = NO) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = taxp) (FAILOVER_MODE =

ASA防火墙8.3与7.0各种操作配置区别详解

Network Object NAT配置介绍 1.Dynamic NAT（动态NAT，动态一对一） 实例一: 传统配置方法： nat (Inside) 1 10.1.1.0 255.255.255.0 global (Outside) 1 202.100.1.100-202.100.1.200 新配置方法（Network Object NAT） object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Inside-Network nat (Inside,Outside) dynamic Outside-Nat-Pool 实例二: object network Outside-Nat-Pool range 202.100.1.100 202.100.1.200 object network Outside-PAT-Address host 202.100.1.201 object-group network Outside-Address network-object object Outside-Nat-Pool network-object object Outside-PAT-Address object network Inside-Network （先100-200动态一对一，然后202.100.1.201动态PAT,最后使用接口地址动态PAT） nat (Inside,Outside) dynamic Outside-Address interface 教主认为这种配置方式的好处是，新的NAT命令绑定了源接口和目的接口，所以不会出现传统配置影响DMZ的问题（当时需要nat0 + acl来旁路）2.Dynamic PAT (Hide)（动态PAT，动态多对一） 传统配置方式： nat (Inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 202.100.1.101 新配置方法（Network Object NAT） object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Outside-PAT-Address host 202.100.1.101 object network Inside-Network nat (Inside,Outside) dynamic Outside-PAT-Address

asa 5505配置常用命令

在配ASA 5505时用到的命令 2009-11-22 22:49 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项，比如：nat；static等等，没有转换项是不能穿越防火墙的，但是到了7.0这个规则有了变化，不需要任何转换项也能正常的像路由器一样穿越防火墙。但是一个新的命令出现了！当你打上nat-control这个命令的时候，这个规则就改变得和6.3时代一样必须要有转换项才能穿越防火墙了。7.0以后开始 nat-control 是默认关闭的，关闭的时候允许没有配置NAT规则的前提下和外部主机通信，相当于路由器一样，启用NAT开关后内外网就必须通过NAT转换才能通信 1、定义外口 interface Ethernet0/0 进入端口 nameif outside 定义端口为外口 security-level 0 定义安全等级为0 no shut 激活端口 ip address ×.×.×.× 255.255.255.248 设置IP 2、定义内口 interface Ethernet0/1 nameif inside 定义端口为内 security-level 100 定义端口安去昂等级为100 no shut ip address 192.168.1.1 255.255.255.0 3、定义内部NAT范围。 nat (inside) 1 0.0.0.0 0.0.0.0 任何IP都可以NAT，可以自由设置范围。4、定义外网地址池 global (outside) 1 10.21.67.10-10.21.67.14 netmask 255.255.255.240 或 global (outside) 1 interface 当ISP只分配给一个IP是，直接使用分配给外口的IP地址。 5、设置默认路由 route outside 0 0 218.17.148.14 指定下一条为IPS指定的网关地址 查看NAT转换情况 show xlate --------------------------------------------------- 一：6个基本命令： nameif、 interface、 ip address 、nat、 global、 route。 二：基本配置步骤： step1: 命名接口名字

HA 配置的一个实例

HA配置的一个实例 作者：Jian Lee 邮件：aybhlj@https://www.wendangku.net/doc/5112896377.html, 主页：https://www.wendangku.net/doc/5112896377.html, 集群环境:(通过eth1接口,用以太网双机直连网线做为心跳线) webdb1: eth0: 10.10.8.31 eth1: 192.168.10.10 webdb2: eth0: 10.10.8.32 eth1: 192.168.10.11 APC电源设备: apc1: 10.10.8.45 apc2: 10.10.8.46 user:apc passwd:apc 机器型号： hp580 8CPU 系统： Red Hat Enterprise Linux AS release 4 (Nahant Update 4) Linux webdb2 2.6.9-42.ELsmp #1 SMP Wed Jul 12 23:27:17 EDT 2006 i686 i686 i386 GNU/Linux 局域网环境： 已经有一个HA，名字默认都叫“alpha_cluster”

步骤 1、运行system-config-cluster 第一次运行，由于还没有/etc/cluster/cluster.conf这个文件，所有会出现下面这个提示框，点击”Create New Configuration”,创建一个新的/etc/cluster/cluster.conf文件。如果删除/etc/cluster/cluster.conf文件，再次运行system-config-cluster还会出现这个提示框。 2、做完上面步骤，就会出现下面对话框。这里选择“DLM”，由于我们使用双机直连网线，所已不必使用”Use Multicast”。

使用gns3配置ASA(含asdm)

GNS3模拟 ASA 1、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是 asa802-k8.bin.unpacked.vmlinuz，启动文件initrd 使用单模式ASA，请下载asa802-k8-sing.gz；使用多模式ASA 请下载asa802-k8-muti.gz。 打开GNS3，新建一个工程，命名为ASA。之后选择“编辑”-->“首选项”-->“qemu” 对“General Setting”做如图所示的配置： 之后配置ASA 选项卡，如图:

2、拖入ASA，分别新建ASA1 和ASA2,TOP 如下： 启动两个ASA 可以看到两个QEMU 窗口

由于是初次运行，点“console”登录后，看到内核初始化： 回到命令提示符后，请等大概 1 分钟左右(为了防止出现其它问题，请按我说的做)，等待FLASH 文件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行 /mnt/disk0/lina_monitor 以后再次运行ASA 的时候，将直接启动到ciscoasa>的状态下，不用再执行上面的命令了 可以看到6 块网卡都被ASA 识别了 此时如果执行show flash:,将会是下面的结果：

因为是初次运行，虽然上面的步骤中格式化了FLASH 文件等等，但是在ASA 中还是没有加载FLASH 所以执行show flash:后可用空间为0。 停止所有的ASA，然后重新启动ASA，再执show flash:,FLASH 文件已经被加载了 为了保证使用命令wr、copy run start 时不出现错误，重新启动ASA 后，在全局配置模式下执行： boot config disk0:/.private/startup-config copy running-config disk0:/.private/startup-config 遇到错误提示不用理睬它就可以了。 3、验证两个ASA 的连通性，做如下配置： ciscoasa(config)# hostname ASA1

ASA防火墙基本配置

一、基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 //进入接口0/0 #nameif outside //配置接口名为outside #security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown #interface ethernet0/1 //进入接口0/1 #nameif inside //配置接口名为inside #security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.255.255.0 //设置ip地址 #duplex full //全双工 #speed 100 //速率 #no shutdown #interface ethernet0/2 //进入接口0/2 #nameif dmz //配置接口名为dmz #security-level 50 //设置安全级别。级别从0--100，级别越高安全级别越高 #ip address 192.168.9.1 255.255.255.0 //设置dmz接口ip地址 #no shutdown #interface Management0/0 //进入管理接口 # nameif guanli //接口名 # security-level 100 //安全级别 #ip address 192.168.1.1 255.255.255.0 //IP地址 注意：security-level 配置安全级别。默认外网接口为0/0 安全级别默认为0 内网接口为0/1 安全级别默认为100 dmz 接口为0/2 安全级别默认为50 默认情况下，相同安全级别接口之间不允许通信，可以使用以下命令： #same-security-traffic permit interface //允许相同安全级别接口之间互相通信。 较高安全接口访问较低安全接口：允许所有基于IP的数据流通过，除非有ACL访问控制列表，认证或授权的限制。 较低安全接口访问较高安全接口：除非有conduit或acl进行明确的许可，否则丢弃所有的数据包。

ASA防火墙基本配置

第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的： 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.wendangku.net/doc/5112896377.html,.，在Out上建立站点https://www.wendangku.net/doc/5112896377.html,，并配置DNS服务，负责解析https://www.wendangku.net/doc/5112896377.html,(202.0.0.253/29)和https://www.wendangku.net/doc/5112896377.html,（IP为202.2.2.1）,PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站，从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 （一）路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh

int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置：静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过，从内Ping外网是不通的，因为ICMP应答的报文返回时不能穿越防火墙，可以配置允许几种报文通过， (Config)# Access-list 111 permit icmp any any