cisco防火墻asa安裝指導(dǎo)手冊(cè)

項(xiàng)目名稱：中國(guó)移動(dòng)彩信&WAP業(yè)務(wù)產(chǎn)品項(xiàng)項(xiàng)目文檔修訂記錄2009-6-文檔使用說(shuō)WAPWAP本文檔僅限于項(xiàng)目中涉及到的CISCO產(chǎn)品，ASA、Catalyst4900M交換機(jī)的安裝、本文檔僅限于ZTE現(xiàn)場(chǎng)用服 商現(xiàn)場(chǎng)服務(wù)及中國(guó)移 等設(shè)備配 設(shè)備配 方案概 交換機(jī)與的連 IP地址規(guī) IP地址規(guī)劃原 IP地址規(guī)劃和分 VLAN劃分及IP地址分 IP地址分配總 工程實(shí)施步 配置CATALYST4900M交換 配置并測(cè)試ASA5580..........................................................................................全網(wǎng)性測(cè) 配置步 CATALYST4900M交換機(jī)配置步 ASA5580配置模 CISCO路由器/交換機(jī)配置備份及恢復(fù)方 CISCOASA配置及備份方 場(chǎng)地及環(huán) ASA5580電源安 機(jī)房環(huán) 設(shè)備配ASA5580-6.94x19x26.5in.48.3x67.3cm)x66(29.91002403.5(89)x17.2(437)x(455)，34.0(15.4-48V規(guī)模局ASA5580-404臺(tái)（大規(guī)模局中等規(guī)模局配置2臺(tái)用于WAP大規(guī)模局配置4臺(tái)，2臺(tái)用于連接GGSNWAP的流量，2臺(tái)用于連接WAPCMNET的流量每臺(tái)配置了一塊Catalyst4900M2Catalyst4900M機(jī)自帶8X2接口，另增配一個(gè)20口10/100/1000M電口WS-X4920-GB-RJ45模塊，5個(gè) 10/100/1000MWAP設(shè)備系統(tǒng)版本信ASA5580-應(yīng)遵循清晰，簡(jiǎn)要的原則，設(shè)備的是為了能迅速檢查并有效管理各種設(shè)備，提高效率。設(shè)備的應(yīng)該遵循全網(wǎng)的規(guī)則。本工程使用“項(xiàng)目名稱＋安裝節(jié)點(diǎn)+設(shè)備型號(hào)+設(shè)備代號(hào)”名規(guī)則：廣州WAP11期ASA5580-40：WAP11-GZ-ASA5580-WAPDNSIP地WAP11-GZ-ASA5580-IPWAP11-GZ-ASA5580-IPASA5580-40CMNET主用WAP11-GZ-ASA5580-IPASA5580-40CMNET備用WAP11-GZ-ASA5580-IPWAP11-GZ-C4900M-IPWAP11-GZ-C4900M-IPWAP中、小規(guī)模局及MMSDNSIP地WAP11-GZ-ASA5580-IPWAP11-GZ-ASA5580-IPWAP11-GZ-C4900M-IPWAP11-GZ-C4900M-IP設(shè)備信管理IP地123456設(shè)備配WAPchannel-channel-channel-channel-channel-channel-channel-ASA5580channel-ASA5580AC輸出ACSET-FW-outsideFw-inside-Fw-outsideTRUNK-=千兆鏈=AC輸圖<2-大規(guī)模局中，GGSNWAP、WAPCMNET的流量都比較大，因此 。兩組各自實(shí)現(xiàn)主、備冗余。GGSNWAP的流量經(jīng)過(guò)的 稱為GGSN，WAPCMNET的流量經(jīng)過(guò)的稱為CMENT。2-1WAP中、小規(guī)模局組網(wǎng)及MMSchannel-channel-Router channel-channel-RouterVlanVlanVlanCatylsty4900MVlanASA5580channel-VlanVlanAC輸 AC輸DC輸入SET-FW-outsideFw-inside-channel-ASA5580VlanCatylsty4900MVlanFw-outsideTRUNK-千兆鏈=AC輸=圖<2-WAP的流量 CMNET的流量都經(jīng)過(guò) 2-2如圖<2-1>和<2-2>所示，Catylsty4900M交換機(jī)連接了、WAP交換機(jī)和CMNET/PS域交換機(jī)使用千兆鏈路與CMNET/PS域交換機(jī)進(jìn)行互聯(lián)同時(shí)透?jìng)鲀蓚€(gè)系統(tǒng)的數(shù)據(jù)；使用千兆鏈路與WAP服務(wù)器群組內(nèi)的交換機(jī)互聯(lián)；采用千統(tǒng)里的catalyst4900M之間使用萬(wàn)兆鏈路互聯(lián)，當(dāng)主系統(tǒng)的catalyst4900M交換大規(guī)模組網(wǎng)中Catylsty4900MCMNET/PS域交換機(jī)交換機(jī)相連時(shí)使用8GE互聯(lián)4個(gè)GE為一個(gè)千兆鏈路組分為兩組分別用于連接PS的VLAN和CMNET的VLANCatalyst4900M交換機(jī)使用兩條萬(wàn)兆鏈路分別與ASA5580的inside端口與outside端口互聯(lián)；GGSNOutside端口配置成Trunk模式透?jìng)鞒隹诜较虻腉GSN或者Internet的數(shù)據(jù)；CMNETOutside端口配置成accessInternet；insideACCESS中、小規(guī)模組網(wǎng)中Catylsty4900M與CMNET/PS域交換機(jī)交換機(jī)相連時(shí)使用4個(gè)GE互聯(lián)，2個(gè)GE為一個(gè)千兆鏈路組，分為兩組，分別用于連接PS的VLAN和CMNET的VLAN。Catalyst4900M交換機(jī)使用兩條萬(wàn)兆鏈路分別與ASA5580防火墻的inside端口與outside端口互聯(lián)outside端口配置成Trunk模式透?jìng)鞒鯳APInternet；insideACCESSIP地址規(guī)IP地址規(guī)劃原IP上向下的一種規(guī)劃。IP地址的分配應(yīng)本著簡(jiǎn)化路由，充分利用地址空間，兼顧今IP地址唯一性原則，確保網(wǎng)絡(luò)中不存在可到達(dá)的地址段地址分配的擴(kuò)展性原則，IPIP地址規(guī)劃和分IPCMNET公網(wǎng)GGSN地址池地WAP地DMZIPDMZCMNET/PS主交換機(jī),WAPCMNET/PS備交換機(jī),WAPCMNET/PS備交換機(jī),WAPVLANVIPOutsideOutsideCMNET/PS主交換機(jī),WAPCMNET/PS主交換機(jī),WAPCMNET/PS主交換機(jī),WAPVLANVIPOutsideOutsideInsideInsideInsideInsideWAP主交換機(jī),WAPGGSN和CMNET/PS備交換機(jī),WAPCMNETCMNET/PS備交換機(jī),WAPCMNETVLANVIPNATCMNETIPNAT轉(zhuǎn)換前地層交換（不主外發(fā)起連(CMPP務(wù)器（公網(wǎng)用戶無(wú)需此設(shè)備FailoverIPorVirtual端口端口E0:N/A端口E1(BOSS):端口端口G1(inside):端口G2(failover):端口端口端口端口4900M交換機(jī)VLAN4900M交換機(jī)VLANFa0/0:8/28//ToFa0/0浮動(dòng)IP：0//PIXFa0/1浮動(dòng)IP：8BOSS網(wǎng)關(guān)：8BOSSBOSS客戶端地址：S0/0:0浮動(dòng)IP：S0/0:0:(SCP):Fa0/0:9/28//ToS0/0:0:(SCP):WAPWAP中、小規(guī)模局，MMS所有的設(shè)備，包括網(wǎng)絡(luò)設(shè)備，服務(wù)器，工作站，及連接的用戶線路均應(yīng)采用以下格式（具體的設(shè)備物理端和線路在工程施工時(shí)確認(rèn)）的物理連接表，以便有效的進(jìn)行管理和故障檢查。XX移動(dòng)彩信中心設(shè)備物理連接對(duì)應(yīng)物理端對(duì)端端WAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-WAP11-C4900M-C4900M-CMNET/PS換1CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換WAPWAPWAPWAP物理端對(duì)端端TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-C4900M-WAP11-ASA5580-Ten2WAP11-ASA5580-TenWAP11-C4900M-CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換CMNET/PS換WAPWAPWAPWAP物理端對(duì)端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端對(duì)端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端對(duì)端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端對(duì)端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-工程實(shí)施步WAP及中興相關(guān)將一起對(duì)到貨設(shè)備進(jìn)行開箱驗(yàn)貨及加電測(cè)試2.4Catalyst4900M包括：交換機(jī)基本信息配置、VLAN配置、TRUNK、Port-channel、STP、VTP5.1ASA5580包括：接口地址、Failover配置、NAT及ACL配置等。然后對(duì)端口狀態(tài)、靜態(tài)地址及規(guī)則和Internet連接是否成功等進(jìn)試。5.2全網(wǎng)性測(cè)所有設(shè)備連接及配置完畢，在服務(wù)器上相應(yīng)地址測(cè)試網(wǎng)絡(luò)連通性1WAP2WAPGRE3用地址WAP41 拔掉Catalyst4900M交換機(jī)與WAP服務(wù)器交換機(jī)之間port-GE預(yù)計(jì)結(jié)果：不會(huì)主、備倒換，對(duì)業(yè)務(wù)沒有影響 拔掉Catalyst4900M交換機(jī)與PS/CMNET交換機(jī)之間port-channel中的一根GE網(wǎng)線。預(yù)計(jì)結(jié)果：不會(huì)主、備倒換，對(duì)業(yè)務(wù)沒有影響 拔掉Catalyst4900M交換機(jī)與主之間的一根10GE光線。預(yù)計(jì)結(jié)果：Firewall進(jìn)行主備倒換，對(duì)業(yè)務(wù)沒有影響。Failover測(cè)試在上使用命令將主備用強(qiáng)行倒換，測(cè)試網(wǎng)絡(luò)連通性及 拔掉Catalyst4900M交換機(jī)與主之間的一根10GE光線。預(yù)計(jì)結(jié)果：Firewall進(jìn)行主備倒換，對(duì)業(yè)務(wù)沒有影響。 拔掉Catalyst4900M交換機(jī)與備之間的一根10GE光線。預(yù)計(jì)結(jié)果：Firewall不進(jìn)行主備倒換，對(duì)業(yè)務(wù)沒有影響。3 掉電預(yù)計(jì)結(jié)果：Firewall配置步Catalyst4900MhostnameZXME-GZ4506-配置net用的用戶名與linevty015配置enableenablesecret啟用加密serviceservicetimelogdatservicetimedebugdat配置vtpzxmeGZvtpmodevlan10nameDMZvlan20nameOutsidenameInsideVLAN與管理IPintvlan1ipadd93ipdefault-gatewayintranG0/6switchaccessintranswitchaccess將交換機(jī)之間互連端口設(shè)置為TrunkintTen0/5switodetrunkswitchtrunkencapdot1qswitchtrunkallowedvlan配置鏈路intG1/1–channel-group1modeintG1/5–channel-group2modeintG1/9–channel-group1modeASA5580配置主機(jī)名：hostnameZXME-GZ525-配置net所用的password配置enableenablepasswordInterfaceten3/1nameifinsidesecurity-level100ipaddress48standbyinterfaceGigabitEthernet8/2.1vlan10nameifDMZsecurity-level50ipaddress48standby!interfaceGigabitEthernet8/2.2vlan20nameifoutsidesecurity-levelipaddress40standby配置Failover功能主上：failoverlanunitfailoverlaninterfaceFailoverManagement0/0failoverkeyciscofailoverlinkFailoverfailoverinterfaceipFailover93standby備上failoverlanunit管理showfailover命令對(duì)狀態(tài)進(jìn)行，后面可以加staan,history,等參數(shù)。(no)Failoveractive手動(dòng)的對(duì)狀態(tài)進(jìn)行切換,重置一個(gè)失敗的設(shè)備failoverreset不能同步的掛起設(shè)備使用failoverreload-standby強(qiáng)制重啟。配置ACL列access-listoutsidepermiticmpanyaccess-listoutsidepermittcpanyanyeqwwwaccess-listoutsidepermittcpanyanyeqsmtpaccess-listoutsidedenyipanyanyaccess-listinsidepermiticmpanyanyaccess-listinsidepermitipanyanyaccess-listnat2permitip8052anyaccess-listnat3permitip6048應(yīng)用ACL列表到端access-groupoutsideininterfaceoutsideaccess-groupinsideininterfaceinsidestatic(inside,outside)tcp80smtp5smtpnetmask5500static(inside,outside)tcp80www5wwwnetmask5500static(inside,outside)816netmask550static(inside,outside)118netmask550static(inside,outside)1034netmask550static(inside,BOSS)030netmask550NATGlobal參數(shù)global(outside)280netmaskglobal(outside)381netmasknat(inside)3access-listnat30nat(inside)2access-listnat20根據(jù)需求設(shè)置各種應(yīng)用連接超時(shí)值timeoutconn90:00:00half-closed90:00:00udp90:00:00rpc0:10:00h225routeoutside //GGSN路routeoutside //CMNET路Sh //Shcpuusage//察看CPU利用Shxlate//察看地址工作情Shstatic//察看靜態(tài)地址工作情Shfailover察看FailoverCPUFirewall#showcpuusage(showcpuusagecontextall80%以下)Showprocesses顯示當(dāng)前活動(dòng)進(jìn)程，一般關(guān)注Process和Ru