一、实验拓扑: 二、实验要求: 1、2个ASA模式都为单模式、路由模式;

三、命令部署: 1、基本配置: 路由器基本配置: R1(config)#int f0/0 R1(config-if)#no shutdown R1(config-if)#ip add 202.100.1.1 255.255.255.0 R1(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.10

R2(config)#int f0/0 R2(config-if)#no shutdown R2(config-if)#ip add 10.1.1.2 255.255.255.0 R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10 防护墙基本配置: ASA-1(config)# show mode Security context mode: single ASA-1(config)# show firewall Firewall mode: Router

ASA-2(config)# show mode Security context mode: single ASA-2(config)# show firewall Firewall mode: Router 2、ASA配置步骤 第一步:正确桥接设备 两个ASA接口连接一定要一模一样

第二步:初始化Primary接口 ASA-1(config)# int g0 ASA-1(config-if)# no shutdown ASA-1(config-if)# nameif outside ASA-1(config-if)# security-level 0 ASA-1(config-if)# ip add 202.100.1.10 255.255.255.0 standby 202.100.1.20

ASA-1(config)# int g1 ASA-1(config-if)# no shutdown ASA-1(config-if)# nameif inside ASA-1(config-if)# security-level 100 ASA-1(config-if)# ip add 10.1.1.10 255.255.255.0 standby 10.1.1.20

ASA-1(config)# int g2 ASA-1(config-if)# no shutdown

ASA-2(config-if)# int g2 ASA-2(config-if)# no shutdown

第三步:配置Primary FO 指定本ASA-1为FO的Primary设备 ASA-1(config)# failover lan unit primary 指定G2为FO链路,接口名字为“fo” ASA-1(config)# failover lan interface fo g2 (选项)加密与验证用密钥 ASA-1(config)# failover key cisco 启用FO功能 ASA-1(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20 ASA-1(config)# failover 查看failover ASA-1(config)# show run failover no failover failover lan unit primary failover lan interface fo GigabitEthernet2 failover key ***** failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20

第四步:配置Secondary FO 指定本ASA-2为FO的Secondary设备 ASA-2(config)# failover lan unit secondary 指定G2为FO链路,接口名字为“fo” ASA-2(config)# failover lan interface fo g2 (选项)加密与验证用密钥 ASA-2(config)# failover key cisco 启用FO功能 ASA-2(config)# failover interface ip fo 192.168.1.10 255.255.255.0 standby 192.168.1.20 ASA-2(config)# failover 验证: 同步完以后,ASA-2变为了ASA-1

第五步:测试Hardware FO故障切换 不要在ASA-1上shutdown接口,因为它会同步配置,ASA-2也会shutdown接口的; 交换机也没法shutdown,只能是把VM10禁用掉;再去show failover查看状态。

状态化信息测试:R2去TelnetR1,如果有状态化信息,它是不会断的,否则就会断。