cisco防火墙asa安装指导手册

项目名称：中国移动彩信&WAP业务产品项项目文档修订记录2009-6-文档使用说WAPWAP本文档仅限于项目中涉及到的CISCO产品，ASA、Catalyst4900M交换机的安装、本文档仅限于ZTE现场用服 商现场服务及中国移 等设备配 设备配 方案概 交换机与的连 IP地址规 IP地址规划原 IP地址规划和分 VLAN划分及IP地址分 IP地址分配总 工程实施步 配置CATALYST4900M交换 配置并测试ASA5580..........................................................................................全网性测 配置步 CATALYST4900M交换机配置步 ASA5580配置模 CISCO路由器/交换机配置备份及恢复方 CISCOASA配置及备份方 场地及环 ASA5580电源安 机房环 设备配ASA5580-6.94x19x26.5in.48.3x67.3cm)x66(29.91002403.5(89)x17.2(437)x(455)，34.0(15.4-48V规模局ASA5580-404台（大规模局中等规模局配置2台用于WAP大规模局配置4台，2台用于连接GGSNWAP的流量，2台用于连接WAPCMNET的流量每台配置了一块Catalyst4900M2Catalyst4900M机自带8X2接口，另增配一个20口10/100/1000M电口WS-X4920-GB-RJ45模块，5个 10/100/1000MWAP设备系统版本信ASA5580-应遵循清晰，简要的原则，设备的是为了能迅速检查并有效管理各种设备，提高效率。设备的应该遵循全网的规则。本工程使用“项目名称＋安装节点+设备型号+设备代号”名规则：广州WAP11期ASA5580-40：WAP11-GZ-ASA5580-WAPDNSIP地WAP11-GZ-ASA5580-IPWAP11-GZ-ASA5580-IPASA5580-40CMNET主用WAP11-GZ-ASA5580-IPASA5580-40CMNET备用WAP11-GZ-ASA5580-IPWAP11-GZ-C4900M-IPWAP11-GZ-C4900M-IPWAP中、小规模局及MMSDNSIP地WAP11-GZ-ASA5580-IPWAP11-GZ-ASA5580-IPWAP11-GZ-C4900M-IPWAP11-GZ-C4900M-IP设备信管理IP地123456设备配WAPchannel-channel-channel-channel-channel-channel-channel-ASA5580channel-ASA5580AC输出ACSET-FW-outsideFw-inside-Fw-outsideTRUNK-=千兆链=AC输图<2-大规模局中，GGSNWAP、WAPCMNET的流量都比较大，因此 。两组各自实现主、备冗余。GGSNWAP的流量经过的 称为GGSN，WAPCMNET的流量经过的称为CMENT。2-1WAP中、小规模局组网及MMSchannel-channel-Router channel-channel-RouterVlanVlanVlanCatylsty4900MVlanASA5580channel-VlanVlanAC输 AC输DC输入SET-FW-outsideFw-inside-channel-ASA5580VlanCatylsty4900MVlanFw-outsideTRUNK-千兆链=AC输=图<2-WAP的流量 CMNET的流量都经过 2-2如图<2-1>和<2-2>所示，Catylsty4900M交换机连接了、WAP交换机和CMNET/PS域交换机使用千兆链路与CMNET/PS域交换机进行互联同时透传两个系统的数据；使用千兆链路与WAP服务器群组内的交换机互联；采用千统里的catalyst4900M之间使用万兆链路互联，当主系统的catalyst4900M交换大规模组网中Catylsty4900MCMNET/PS域交换机交换机相连时使用8GE互联4个GE为一个千兆链路组分为两组分别用于连接PS的VLAN和CMNET的VLANCatalyst4900M交换机使用两条万兆链路分别与ASA5580的inside端口与outside端口互联；GGSNOutside端口配置成Trunk模式透传出口方向的GGSN或者Internet的数据；CMNETOutside端口配置成accessInternet；insideACCESS中、小规模组网中Catylsty4900M与CMNET/PS域交换机交换机相连时使用4个GE互联，2个GE为一个千兆链路组，分为两组，分别用于连接PS的VLAN和CMNET的VLAN。Catalyst4900M交换机使用两条万兆链路分别与ASA5580防火墙的inside端口与outside端口互联outside端口配置成Trunk模式透传出WAPInternet；insideACCESSIP地址规IP地址规划原IP上向下的一种规划。IP地址的分配应本着简化路由，充分利用地址空间，兼顾今IP地址唯一性原则，确保网络中不存在可到达的地址段地址分配的扩展性原则，IPIP地址规划和分IPCMNET公网GGSN地址池地WAP地DMZIPDMZCMNET/PS主交换机,WAPCMNET/PS备交换机,WAPCMNET/PS备交换机,WAPVLANVIPOutsideOutsideCMNET/PS主交换机,WAPCMNET/PS主交换机,WAPCMNET/PS主交换机,WAPVLANVIPOutsideOutsideInsideInsideInsideInsideWAP主交换机,WAPGGSN和CMNET/PS备交换机,WAPCMNETCMNET/PS备交换机,WAPCMNETVLANVIPNATCMNETIPNAT转换前地层交换（不主外发起连(CMPP务器（公网用户无需此设备FailoverIPorVirtual端口端口E0:N/A端口E1(BOSS):端口端口G1(inside):端口G2(failover):端口端口端口端口4900M交换机VLAN4900M交换机VLANFa0/0:8/28//ToFa0/0浮动IP：0//PIXFa0/1浮动IP：8BOSS网关：8BOSSBOSS客户端地址：S0/0:0浮动IP：S0/0:0:(SCP):Fa0/0:9/28//ToS0/0:0:(SCP):WAPWAP中、小规模局，MMS所有的设备，包括网络设备，服务器，工作站，及连接的用户线路均应采用以下格式（具体的设备物理端和线路在工程施工时确认）的物理连接表，以便有效的进行管理和故障检查。XX移动彩信中心设备物理连接对应物理端对端端WAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-WAP11-C4900M-C4900M-CMNET/PS换1CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换WAPWAPWAPWAP物理端对端端TenWAP11-ASA5580-TenWAP11-ASA5580-TenWAP11-C4900M-WAP11-ASA5580-Ten2WAP11-ASA5580-TenWAP11-C4900M-CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换CMNET/PS换WAPWAPWAPWAP物理端对端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端对端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端对端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-物理端对端端TenWAP11-C4900M-TenTenWAP11-C4900M-Ten100base-WAP11-ASA5580-工程实施步WAP及中兴相关将一起对到货设备进行开箱验货及加电测试2.4Catalyst4900M包括：交换机基本信息配置、VLAN配置、TRUNK、Port-channel、STP、VTP5.1ASA5580包括：接口地址、Failover配置、NAT及ACL配置等。然后对端口状态、静态地址及规则和Internet连接是否成功等进试。5.2全网性测所有设备连接及配置完毕，在服务器上相应地址测试网络连通性1WAP2WAPGRE3用地址WAP41 拔掉Catalyst4900M交换机与WAP服务器交换机之间port-GE预计结果：不会主、备倒换，对业务没有影响 拔掉Catalyst4900M交换机与PS/CMNET交换机之间port-channel中的一根GE网线。预计结果：不会主、备倒换，对业务没有影响 拔掉Catalyst4900M交换机与主之间的一根10GE光线。预计结果：Firewall进行主备倒换，对业务没有影响。Failover测试在上使用命令将主备用强行倒换，测试网络连通性及 拔掉Catalyst4900M交换机与主之间的一根10GE光线。预计结果：Firewall进行主备倒换，对业务没有影响。 拔掉Catalyst4900M交换机与备之间的一根10GE光线。预计结果：Firewall不进行主备倒换，对业务没有影响。3 掉电预计结果：Firewall配置步Catalyst4900MhostnameZXME-GZ4506-配置net用的用户名与linevty015配置enableenablesecret启用加密serviceservicetimelogdatservicetimedebugdat配置vtpzxmeGZvtpmodevlan10nameDMZvlan20nameOutsidenameInsideVLAN与管理IPintvlan1ipadd93ipdefault-gatewayintranG0/6switchaccessintranswitchaccess将交换机之间互连端口设置为TrunkintTen0/5switodetrunkswitchtrunkencapdot1qswitchtrunkallowedvlan配置链路intG1/1–channel-group1modeintG1/5–channel-group2modeintG1/9–channel-group1modeASA5580配置主机名：hostnameZXME-GZ525-配置net所用的password配置enableenablepasswordInterfaceten3/1nameifinsidesecurity-level100ipaddress48standbyinterfaceGigabitEthernet8/2.1vlan10nameifDMZsecurity-level50ipaddress48standby!interfaceGigabitEthernet8/2.2vlan20nameifoutsidesecurity-levelipaddress40standby配置Failover功能主上：failoverlanunitfailoverlaninterfaceFailoverManagement0/0failoverkeyciscofailoverlinkFailoverfailoverinterfaceipFailover93standby备上failoverlanunit管理showfailover命令对状态进行，后面可以加staan,history,等参数。(no)Failoveractive手动的对状态进行切换,重置一个失败的设备failoverreset不能同步的挂起设备使用failoverreload-standby强制重启。配置ACL列access-listoutsidepermiticmpanyaccess-listoutsidepermittcpanyanyeqwwwaccess-listoutsidepermittcpanyanyeqsmtpaccess-listoutsidedenyipanyanyaccess-listinsidepermiticmpanyanyaccess-listinsidepermitipanyanyaccess-listnat2permitip8052anyaccess-listnat3permitip6048应用ACL列表到端access-groupoutsideininterfaceoutsideaccess-groupinsideininterfaceinsidestatic(inside,outside)tcp80smtp5smtpnetmask5500static(inside,outside)tcp80www5wwwnetmask5500static(inside,outside)816netmask550static(inside,outside)118netmask550static(inside,outside)1034netmask550static(inside,BOSS)030netmask550NATGlobal参数global(outside)280netmaskglobal(outside)381netmasknat(inside)3access-listnat30nat(inside)2access-listnat20根据需求设置各种应用连接超时值timeoutconn90:00:00half-closed90:00:00udp90:00:00rpc0:10:00h225routeoutside //GGSN路routeoutside //CMNET路Sh //Shcpuusage//察看CPU利用Shxlate//察看地址工作情Shstatic//察看静态地址工作情Shfailover察看FailoverCPUFirewall#showcpuusage(showcpuusagecontextall80%以下)Showprocesses显示当前活动进程，一般关注Process和Ru