某公司使用一台asa5520作為內外網安全裝置及網際網路出口,現網還有一台asa5520放置於出口,但兩台裝置沒有形成ha,並沒有配置failover。出於提公升網路安全性和冗餘的考慮,現對裝置進行failover配置。整個配置過程內容如下:
前提條件
要實現failover,兩台裝置需要滿足以下的一些條件: 1.
相同的裝置型號和硬體配置:裝置模組、介面型別,介面數量,cpu,記憶體,flash快閃儲存器等 2.
相同的軟體版本號,此處即指asa的ios版本,ios版本需要高於7.0 3.
相同的fw模式,必須同為路由模式或者透明模式 4.
相同的特性集,如支援的加密同為des或者3des 5.
合適的licensing,兩台裝置的license符合基本要求,能支援相同的failover
除了以上的幾點之外,兩台asa實現失效轉移failover還需要按照情況製作對應的failover/stateful心跳線,可以是交叉網線。
經過比對兩台asa5520的以上相關資訊,發現目前兩台asa防火牆的ios版本不一致,asa-a是「asa804-3-k8.bin,softwareversion8.0(4)3」,asa-b是「asa821-k8.bin,softwareversion8.2(1)」。通過比對還發現,兩台asa支援的licensefeatures雖並不一致,但事實上,實現failover不需要licensefeatures完全一致,只要關鍵的幾個特性如支援failover型別相同即可。所以,此兩台裝置如果要實現failover,則必須首先要做的就是使用asa-b的公升級asa-a的ios至8.2(1),或者將asa-b的ios降低至8.0(4)3版本,不推薦使用降級ios的方式,所以下面的小節將給出實現failover前公升級asa-a的ios具體操作過程(命令指令碼)。
ASA基本配置
一 asa的基本配置 1 主機名 hostname 名字 2 特權密碼 enable password 密碼 3 遠端登入密碼 telnet密碼 passwd 密碼 4 清除所有配置 全域性模式下 clear configure all 5 acl配置 access list 名字 permit i...
ASA基礎配置
asa介面配置 1.1 問題 1 熟悉asa模擬器的使用 2 配置asa介面 3 驗證介面的預設規則 1.2 方案 搭建實驗環境,如圖 1所示。圖 11.3 步驟 實現此案例需要按照如下步驟進行。1 配置asa介面 asa config int g0 asa config if nameif ins...
asa清空配置 ASA上的DNS修正配置示例
本文件顯示如何在自適應安全裝置 asa 上使用dns修正來更改網域名稱系統 dns 響應中的嵌入ip位址,以便客戶端可以連線到伺服器的正確ip位址。dns修正要求在asa上配置網路位址轉換 nat 並啟用dns檢測。本文件中的資訊基於自適應安全裝置。本文件中的資訊都是基於特定實驗室環境中的裝置編寫的...