ASA5585防火牆IDC機房上架記
前言:
現在網遊公司用的是ASA5520,web網站經常被別人***一下,就把28萬個連接都用完的,造成服務不正常。這個問題必須馬上解決,參考了很多互聯網公司的網絡架構,最後換防火牆是一種比較好的方案。提了兩個品牌給領導審批,一個cisco的ASA,一個juniper的SRX。領導選了思科,我在此替juniper悲哀,領導一直覺得思科的交換機好用,所以就認爲思科的防火牆也很強大(其實juniper防火牆要好於思科ASA)。到思科官網去找了下, 200萬併發的產品。又電話思科問下,說是5580快停產了,購5585,性能更好,並且算上折扣,比老的5580-20還要便宜1000,那就這樣定了ASA5585-20-K9。
第一步:產品採購
訂單明細如下:
這點東西,總計花了公司35萬人民幣。思科的服務真貴,三年就要13萬9人民幣。其實服務費,國外公司都貴,不管是思科,還是oracle,還是IBM小機。
第二步:驗收硬件
與供貨商工程師一起,驗收設備。大箱子是ASA5585防火牆,小箱子是冗餘電源。還購買了兩個SM多模光纖,找機房問問,說是在庫房。硬件上沒有什麼設備丟失的了,包裝也完好,那拆箱吧。
第三步:上架前準備
3.1上冗餘電源模塊,上機箱耳朵,ASA5585防火牆像一臺dell R710服務器。
3.2機櫃騰空間
在一個機櫃中把cisco 3825路由器下架,就空出一個2U的空間了,把ASA5585上到這。
第四步:上架
這個時候,我傻了,電源線插頭是16A的,無法接到機櫃的排插裏。我在購買這款產品時,特意問了思科原廠工程師,他說電源插頭是標準的,國標,所以我來北京之前,沒想過電源線的插頭有問題。找遍北京酒仙橋方圓1000米的蘇寧,大超市,五金,格力空調專賣,都沒有10A轉16A的轉換頭,沒辦法,taobao一下,發現安定門外大街的肖家衚衕43號有賣,打個的去,買了兩個轉換頭,花了20元。
打的費60塊,插頭20塊,總計花了80塊,就爲了兩個轉換頭,並浪費了我4個小時,所以大家要注意啊,高端產品的電力問題,如HP刀片機箱,IBM小機。
第五步:軟件驗收
登錄ASA5585,“show version”一下,看下里面的軟件版權與License
根據採購單的明細表對比“show version”,發現有一項少了,即“ASA5585-SEC-PL”,其它都正常,把這個疑問登記在案,並電話供貨商的售前經理,他查了,說是合同裏沒有標明有這項,暫不管了,回深圳去對下原始合同。
第六步:功能調試
6.1、內外網路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128
Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外網路由:route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
內網路由:route inside 10.98.2.0 255.255.255.0 10.98.2.1
6.2、設置主機名和域名:
hostname ASA5585-20
domain-name xxxx.com
6.3、設置enable密碼,命令如下:
Enable password xxxxxx //密碼當場配置時定,取8位以上
6.4、設置帳戶和密碼,命令如下:
Username xxxx password xxxx privilege 15 //爲ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登錄時的密鑰
6.5、啓用telnet和SSH訪問防火牆
telnet 0.0.0.0 0.0.0.0 inside //啓用內網的telnet
telnet timeout 5
aaa authentication enable console LOCAL //設置en認證爲本地認證
aaa authentication telnet console LOCAL //設置telnet證爲本地認證
aaa authentication ssh console LOCAL //設置SSH的認證爲本地認證
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用內部和外部接口的SSH
ssh timeout 30
ssh version 2 //設置SSH版本爲2
console timeout 0
6.6、NAT轉換及映射(8.4版)
6.6.1轉換內部服務器上網
Object network inside-outside-all //內網服務器NAT上網
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10
6.6.2映射www及開放端口等
Object ntwork inside-server215 //內網web服務器映射80端口到互聯網
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3開放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www
6.7 ***連接(8.4版)
object network szzb //定義深圳***組
subnet 172.16.4.0 255.25.255.0
object network bjwz //定義北京***組
subnet 10.98.2.0 255.255.255.0
access-list bj-sz-*** extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0
crypto ipsec ikev1 transform-set ***_set esp-des esp-md5-hmac
crypto map ***_map 70 match address bj-sz-***
crypto map ***_map 70 set peer 124.114.169.xx
crypto map ***_map 70 set ikev1 transform-set ***_set
crypto map ***_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx
第七步: NAT驗證及***參數驗證
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool
Sh crypto isakmp sa
Sh crypto ipsec sa
Sh crypto isakmp stats