ASA与FTD的基本配置

思科安全的考纲就不用说了，但个人认为最难的是记命令，尤其那些个命令生产环境虽然要用，但都是依赖文档，考试的时候最好还是熟记。本篇就是整理归纳，懒得翻文档查google了。

一. ASA的HA （默写了5遍。。。）

Primary Unit:

failover failover lan unit primary failover lan FAILOVER interface gi0/2 failover link STATEFUL gi0/3 failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2 failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

Secondary Unit

failover failover lan unit secondary failover lan interface FAILOVER gi0/2 failover link STATEFUL gi0/3 failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2 failover interface ip STATEFUL 2.2.2.2 255.255.255.252 standby 2.2.2.2

show failover state/ show failover 等验证命令不放了，不过要记得查看monitor interface

使用prompt hostname state来显示是否是active standby

ASA有个特性，所有的流量必须得在配置了nameif security-level才能生效。比如，你只配置了接口的ip，而没有nameif 和security level，是无法ping通的。

练习下multi context但是ASAv不支持（其实也很好理解，虚拟机为啥要支持虚拟防火墙？再装个虚拟机不就完了么），但不管如何，抄一遍命令，加深下印象，不做注释了，项目都起过了。

ASA1:

mode multiple 接口部分 interface Gi0/1 no shut interface Gi0/2 no shut interface Gi0/1.10 vlan 10 interface Gi0/1.20 vlan 20 interface Gi0/2.30 vlan 30 interface Gi/0.240 vlan 40

Context C1 allocate-interface GigaEthernet0/1.10 allocate-interface GigaEthernet0/2.30 config-url disk0:/c1.cfg Context C2 allocate-interface GigaEthernet0/1.20 allocate-interface GigaEthernet0/2.40 config-url disk0:/c2.cfg

HA部分 failover failover lan unit primary failover lan FAILOVER interface gi0/6 failover link STATEFUL gi0/7 failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2 failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

failover-group 1 primary preempt

failover-group 2 secondary preempt

context C1 join-failover-group 1 context C2 joint-failover-group 2

ASA2

mode multiple

接口配置 interface Gi0/1 no shut interface Gi0/2 no shut interface gi0/1.10 vlan 10 interface gi0/1.20 vlan 20 interface gi0/2.30 vlan 30 interface gi0/2.40 vlan 40

context C1 allocate-interface GigaEthernet0/1.10 allocate-interface GigaEthernet0/2.30 config-url disk0:/c1.cfg

context C2 allocate-interface GigaEthernet0/1.20 allocate-interface GigaEthernet0/2.40 config-url disk0:/c2.cfg

HA的部分 failover failover lan unit secondary failover lan FAILOVER interface gi0/6 failover link STATEFUL gi0/7 failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2 failover interface ip STATEFUL 2.2.2.1 255.255.255.252 standby 2.2.2.2

二. ASA的NAT

先说个ASA的特性，我们知道由于security-level的存在，高级别进入级别的流量被默认放行，反之低级别进入高级别默认block。但是我们一旦在接口下配置了ACL，所有security-level都其实作废了。其实在生产环境下，security-level是没啥用的。。。参考文档： https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html

说回NAT，由于NAT的命令实在是太多了，项目中我也一般是用ASDM去配的。 留着这份文档日后再看。 https://www.practicalnetworking.net/stand-alone/cisco-asa-nat/

三. FTD接口与路由

嫌麻烦，直接用OSPF把所有5台CSR和FTD打通，这里直接截下图。毕竟FTD的OSPF配置还是5分钟就能明白搞定的。

可以进入FTD的console查看OSPF邻居接口状况

由于FTD是ASA的底层，所以一些我们熟知的ASA命令仍然是可以使用的。

下一篇写DM×××，使用证书认证。