10年積累的成都做網(wǎng)站、網(wǎng)站設(shè)計經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認識你，你也不認識我。但先建設(shè)網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有臺江免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

多模式防火墻

部署建議

1.一個ASA虛擬多個防火墻Security context

2.子墻能共享物理接口（也可分子接口給不同防火墻）

3.每個子墻都有配置文件，ASA還有個系統(tǒng)配置文件（關(guān)于各個子墻分配）

4.防火墻模式設(shè)置會影響整個Cisco 防火墻，不能一部分路由，一部分透明

5.先改變防火墻模式（如改為透明模式），再創(chuàng)建子墻

6.透明模式的防火墻不能夠使用共享接口

7.當使用共享接口時，要為每個子墻的共享接口指定不同的MAC地址

8.注意資源管理，防止一個子墻耗盡資源

局限性

使用子墻（多模式），不支持如下特性:

– Dynamic routing protocol （動態(tài)路由協(xié)議）
– Multicast IP routing （組播路由）
– Threat detection （威脅檢測）
– ×××
– Phone proxy （電話代理）

配置

1. 單轉(zhuǎn)多時，單模式的 running configuration 將會轉(zhuǎn)換到system configuration（系統(tǒng)配置） 和 admin.cfg（admin子墻配置，應(yīng)用單模的running configuration），且保存原配置文件為old_running.cfg

2. 在單一模式被激活接口指派到admin context。在單一模式關(guān)閉的接口將不會被指定到任何子墻。

3. 一個新的子墻，默認沒有關(guān)聯(lián)接口。必須在系統(tǒng)配置下指派接口到子墻。在系統(tǒng)配置下激活一個接口。在路由模式，能夠指派相同的接口到多個子墻。

4. 一個新的子墻在你指定startup configuration存盤位置之前是不能夠操作的（disk0,ftp,tftp,https）

5. admin context可以管理其他子墻和整個系統(tǒng)，也可當一個普通防火墻用，通常作為管理者

一個共享接口，對數(shù)據(jù)包分類送往不同子墻

1. 獨享

2. 共享出接口----對從該接口出去的數(shù)據(jù)包的源ip做PAT，回來就可以根據(jù)目的IP分類

3. 共享入接口----為每個子墻手動或動態(tài)設(shè)置mac，根據(jù)不同mac進入不同子墻

ASA-1
ASA/stby/pri(config)# show runn failover
failover
failover lan unit primary                //將ASA-1作為primary設(shè)備
failover lan interface fo GigabitEthernet3
failover key *****
failover mac address GigabitEthernet1 0001.0001.0001 0001.0001.0002
failover mac address GigabitEthernet0 0001.0002.0001 0001.0002.0002
failover mac address GigabitEthernet2 0001.0003.0001 0001.0003.0002
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1
  secondary
  preempt
failover group 2
  preempt
  
  
------------------------------------------------------------------------  
  
ASA-2
ASA/act/sec(config)# show runn failover
failover
failover lan unit secondary            //將ASA-2作為secondary
failover lan interface fo GigabitEthernet3
failover key *****
failover link fo GigabitEthernet3
failover interface ip fo 10.1.1.11 255.255.255.0 standby 10.1.1.22
failover group 1        //注意group 1 的primary是ASA-1
  secondary
  preempt
failover group 2        //group 2 的primary是ASA-2
  primary
  preempt

  完結(jié)了  又要面臨選擇，是否繼續(xù)還是跟隨熱潮，有點不舍

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當前名稱：ASA多模式防火墻_06-創(chuàng)新互聯(lián)
標題鏈接：http://weahome.cn/article/eddsg.html