ASA5585防火墙IDC机房上架记

 

前言:
    现在网游公司用的是ASA5520,web网站经常被别人***一下,就把28万个连接都用完的,造成服务不正常。这个问题必须马上解决,参考了很多互联网公司的网络架构,最后换防火墙是一种比较好的方案。提了两个品牌给领导审批,一个cisco的ASA,一个juniper的SRX。领导选了思科,我在此替juniper悲哀,领导一直觉得思科的交换机好用,所以就认为思科的防火墙也很强大(其实juniper防火墙要好于思科ASA)。到思科官网去找了下, 200万并发的产品。又电话思科问下,说是5580快停产了,购5585,性能更好,并且算上折扣,比老的5580-20还要便宜1000,那就这样定了ASA5585-20-K9。

第一步:产品采购
订单明细如下:

   这点东西,总计花了公司35万人民币。思科的服务真贵,三年就要13万9人民币。其实服务费,国外公司都贵,不管是思科,还是oracle,还是IBM小机。

第二步:验收硬件
    与供货商工程师一起,验收设备。大箱子是ASA5585防火墙,小箱子是冗余电源。还购买了两个SM多模光纤,找机房问问,说是在库房。硬件上没有什么设备丢失的了,包装也完好,那拆箱吧。

第三步:上架前准备
3.1上冗余电源模块,上机箱耳朵,ASA5585防火墙像一台dell R710服务器。


3.2机柜腾空间
   在一个机柜中把cisco 3825路由器下架,就空出一个2U的空间了,把ASA5585上到这。

第四步:上架
   这个时候,我傻了,电源线插头是16A的,无法接到机柜的排插里。我在购买这款产品时,特意问了思科原厂工程师,他说电源插头是标准的,国标,所以我来北京之前,没想过电源线的插头有问题。找遍北京酒仙桥方圆1000米的苏宁,大超市,五金,格力空调专卖,都没有10A转16A的转换头,没办法,taobao一下,发现安定门外大街的肖家胡同43号有卖,打个的去,买了两个转换头,花了20元。
打的费60块,插头20块,总计花了80块,就为了两个转换头,并浪费了我4个小时,所以大家要注意啊,高端产品的电力问题,如HP刀片机箱,IBM小机。

第五步:软件验收
登录ASA5585,“show version”一下,看下里面的软件版权与License

  根据采购单的明细表对比“show version”,发现有一项少了,即“ASA5585-SEC-PL”,其它都正常,把这个疑问登记在案,并电话供货商的售前经理,他查了,说是合同里没有标明有这项,暂不管了,回深圳去对下原始合同。

第六步:功能调试
6.1、内外网路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128

Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外网路由:route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
内网路由:route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.2、设置主机名和域名:
hostname ASA5585-20
domain-name xxxx.com
6.3、设置enable密码,命令如下:
Enable password xxxxxx //密码当场配置时定,取8位以上
6.4、设置帐户和密码,命令如下:
Username xxxx password xxxx privilege 15 //为ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登录时的密钥
6.5、启用telnet和SSH访问防火墙
telnet 0.0.0.0 0.0.0.0 inside //启用内网的telnet
telnet timeout 5
aaa authentication enable console LOCAL //设置en认证为本地认证
aaa authentication telnet console LOCAL //设置telnet证为本地认证
aaa authentication ssh console LOCAL //设置SSH的认证为本地认证
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用内部和外部接口的SSH
ssh timeout 30
ssh version 2 //设置SSH版本为2
console timeout 0

6.6、NAT转换及映射(8.4版)
6.6.1转换内部服务器上网
Object network inside-outside-all  //内网服务器NAT上网
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10 

6.6.2映射www及开放端口等
Object ntwork inside-server215    //内网web服务器映射80端口到互联网
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3开放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 ***连接(8.4版)
object network szzb               //定义深圳***组
subnet 172.16.4.0 255.25.255.0

object network bjwz              //定义北京***组
subnet 10.98.2.0 255.255.255.0

access-list bj-sz-*** extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set ***_set esp-des esp-md5-hmac
crypto map ***_map 70 match address bj-sz-***
crypto map ***_map 70 set peer 124.114.169.xx
crypto map ***_map 70 set ikev1 transform-set ***_set

crypto map ***_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx

第七步: NAT验证及***参数验证
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool

Sh crypto isakmp sa
Sh crypto ipsec sa
Sh crypto isakmp stats