Cisco ASA 防火墙 9.5(2)综合配置指南
思科ASA防火墙综合配置指南(集群+双线路+策略路由+IP SLA+NAT+SNMP)
文档说明
-
适用设备:Cisco ASA 5515(硬件参数:8192 MB RAM,CPU Clarkdale 3058 MHz,1 CPU 4核)
-
ASA系统版本:9.5(2)
-
核心功能:集群部署、双ISP线路冗余、策略路由、IP SLA链路检测、NAT地址转换、SNMP设备监控
-
文档用途:提供分步配置命令及解释,便于运维人员部署或参考
一、基础配置(全局初始化)
1.1 系统基础信息配置
| 配置命令 | 命令解释 |
|---|---|
hostname ASA | 设置防火墙主机名(便于设备识别) |
enable password pDkFgU8keHnDPjQR encrypted | 配置enable特权模式加密密码 |
passwd pDkFgU8keHnDPjQR encrypted | 配置控制台登录加密密码 |
clock timezone UTC 8 | 设置时区为UTC+8(中国标准时间) |
logging enable | 启用日志功能 |
logging timestamp | 日志添加时间戳 |
logging buffer-size 115200 | 设置日志缓冲区大小为115200字节 |
logging buffered informational | 缓冲区日志级别设为“信息级”(记录关键操作及状态) |
pager lines 24 | 控制台分页显示行数为24行 |
aaa authentication ssh console LOCAL | SSH登录认证方式为本地用户认证 |
username admin password VAM00M3KvXKBqXxE encrypted | 创建本地管理员用户admin(加密密码) |
ssh stricthostkeycheck | 启用SSH严格主机密钥检查 |
ssh timeout 5 | SSH连接超时时间设为5分钟 |
ssh key-exchange group dh-group1-sha1 | SSH密钥交换算法组为dh-group1-sha1 |
console timeout 0 | 控制台登录永不超时(运维场景优化) |
1.2 全局参数优化
| 配置命令 | 命令解释 |
|---|---|
xlate per-session deny tcp any4 any4 | 禁用TCP IPv4之间的逐会话地址转换(优化性能) |
xlate per-session deny tcp any4 any6 | 禁用TCP IPv4到IPv6的逐会话转换 |
xlate per-session deny tcp any6 any4 | 禁用TCP IPv6到IPv4的逐会话转换 |
xlate per-session deny tcp any6 any6 | 禁用TCP IPv6之间的逐会话转换 |
xlate per-session deny udp any4 any4 eq domain | 禁用UDP DNS(53端口)IPv4之间的逐会话转换 |
xlate per-session deny udp any4 any6 eq domain | 禁用UDP DNS IPv4到IPv6的逐会话转换 |
xlate per-session deny udp any6 any4 eq domain | 禁用UDP DNS IPv6到IPv4的逐会话转换 |
xlate per-session deny udp any6 any6 eq domain | 禁用UDP DNS IPv6之间的逐会话转换 |
mtu management 1500 | 管理接口MTU设为1500字节(默认以太网MTU) |
mtu inside 1500 | 内网接口MTU设为1500字节 |
mtu ISP1 1500 | ISP1接口MTU设为1500字节 |
mtu ISP2 1500 | ISP2接口MTU设为1500字节 |
mtu cluster 9000 | 集群接口MTU设为9000字节(Jumbo帧,优化集群通信) |
arp timeout 14400 | ARP缓存超时时间设为4小时(14400秒) |
no arp permit-nonconnected | 禁止非直连网络的ARP响应(增强安全性) |
二、接口配置(含链路聚合)
2.1 物理接口配置
| 配置命令 | 命令解释 |
|---|---|
interface GigabitEthernet0/0 | 进入千兆以太网接口0/0(连接ISP1) |
description TO ISP1 | 接口描述:连接ISP1线路 |
channel-group 10 mode active | 加入通道组10,LACP模式为主动协商 |
no nameif | 暂不配置逻辑接口名(后续通过端口通道统一配置) |
no security-level | 暂不配置安全级别 |
no ip address | 暂不配置IP地址(端口通道统一配置) |
exit | 退出接口配置模式 |
interface GigabitEthernet0/1 | 进入千兆以太网接口0/1(连接ISP2) |
description TO ISP2 | 接口描述:连接ISP2线路 |
channel-group 11 mode active | 加入通道组11,LACP模式为主动协商 |
no nameif | 暂不配置逻辑接口名 |
no security-level | 暂不配置安全级别 |
no ip address | 暂不配置IP地址 |
exit | 退出接口配置模式 |
interface GigabitEthernet0/2 | 进入千兆以太网接口0/2(连接内网) |
description TO INSIDE | 接口描述:连接内网 |
channel-group 2 mode active | 加入通道组2,LACP模式为主动协商 |
no nameif | 暂不配置逻辑接口名 |
no security-level | 暂不配置安全级别 |
no ip address | 暂不配置IP地址 |
exit | 退出接口配置模式 |
interface GigabitEthernet0/3 | 进入千兆以太网接口0/3 |
shutdown | 关闭该接口(未使用) |
no nameif | 暂不配置逻辑接口名 |
no security-level | 暂不配置安全级别 |
no ip address | 暂不配置IP地址 |
exit | 退出接口配置模式 |
interface GigabitEthernet0/4 | 进入千兆以太网接口0/4 |
shutdown | 关闭该接口(未使用) |
no nameif | 暂不配置逻辑接口名 |
no security-level | 暂不配置安全级别 |
no ip address | 暂不配置IP地址 |
exit | 退出接口配置模式 |
interface GigabitEthernet0/5 | 进入千兆以太网接口0/5(集群专用接口) |
description Clustering Interface | 接口描述:集群通信接口 |
exit | 退出接口配置模式 |
interface Management0/0 | 进入管理接口0/0 |
management-only | 仅用于管理,不转发业务流量 |
nameif management | 配置逻辑接口名为management |
security-level 100 | 安全级别设为100(最高,信任区域) |
ip address 10.167.3.1 255.255.255.0 cluster-pool hkpccwidc-mgmt-pool | 配置管理IP:10.167.3.1/24,关联集群管理地址池 |
2.2 端口通道(链路聚合)配置
| 配置命令 | 命令解释 |
|---|---|
interface Port-channel2 | 进入端口通道2(内网聚合接口) |
description TO INSIDE | 描述:内网聚合链路 |
lacp max-bundle 8 | LACP最大聚合端口数为8(支持扩展) |
port-channel span-cluster | 允许集群跨端口通道转发流量(集群模式必备) |
mac-address 70e4.2285.eb02 | 配置端口通道MAC地址(固定,避免漂移) |
nameif inside | 逻辑接口名为inside(内网区域) |
security-level 100 | 安全级别100(信任区域) |
ip address 10.167.2.253 255.255.255.0 | 配置内网聚合接口IP:10.167.2.253/24 |
policy-route route-map GO_WTT | 应用策略路由:调用route-map GO_WTT |
exit | 退出接口配置模式 |
interface Port-channel10 | 进入端口通道10(ISP1聚合接口) |
description TO ISP1 | 描述:ISP1聚合链路 |
lacp max-bundle 8 | LACP最大聚合端口数为8 |
port-channel span-cluster | 允许集群跨端口通道转发流量 |
mac-address 70e4.2285.eb10 | 配置固定MAC地址 |
nameif ISP1 | 逻辑接口名为ISP1(外网区域) |
security-level 0 | 安全级别0(非信任区域) |
ip address 205.177.199.18 255.255.255.240 | 配置ISP1接口IP:205.177.199.18/28 |
exit | 退出接口配置模式 |
interface Port-channel11 | 进入端口通道11(ISP2聚合接口) |
description TO ISP2 | 描述:ISP2聚合链路 |
lacp max-bundle 8 | LACP最大聚合端口数为8 |
port-channel span-cluster | 允许集群跨端口通道转发流量 |
mac-address 70e4.2285.eb11 | 配置固定MAC地址 |
nameif ISP2 | 逻辑接口名为ISP2(外网区域) |
security-level 0 | 安全级别0(非信任区域) |
ip address 101.78.133.2 255.255.255.240 | 配置ISP2接口IP:101.78.133.2/28 |
exit | 退出接口配置模式 |
三、集群配置(高可用)
| 配置命令 | 命令解释 |
|---|---|
cluster group hkpccwidc | 创建集群组,名称为hkpccwidc |
key ***** | 集群通信密钥(实际部署时替换为强密钥) |
local-unit unit1 | 本地集群单元名称为unit1 |
cluster-interface GigabitEthernet0/5 ip 100.1.1.1 255.255.255.0 | 指定集群接口为GigabitEthernet0/5,配置集群IP:100.1.1.1/24 |
priority 1 | 集群优先级为1(数值越小优先级越高,主设备优先级) |
health-check holdtime 3 | 健康检查保持时间3秒(超时未响应则判定故障) |
health-check data-interface auto-rejoin 3 5 2 | 数据接口自动重加入配置:最多3次重连,间隔5秒,每次超时2秒 |
health-check cluster-interface auto-rejoin unlimited 5 1 | 集群接口自动重加入:无限次重连,间隔5秒,每次超时1秒 |
clacp system-mac auto system-priority 1 | 集群LACP系统MAC自动生成,系统优先级1(LACP协商优先级) |
enable | 启用集群功能 |
exit | 退出集群配置模式 |
ip local pool hkpccwidc-mgmt-pool 10.167.3.2-10.167.3.10 mask 255.255.255.0 | 创建集群管理地址池:10.167.3.2-10.167.3.10/24(供集群节点管理IP分配) |
四、IP SLA与链路跟踪(双线路冗余)
4.1 IP SLA监控配置
| 配置命令 | 命令解释 |
|---|---|
sla monitor 1 | 创建IP SLA监控实例1(监控ISP1链路) |
type echo protocol ipIcmpEcho 205.177.199.17 interface ISP1 | 监控类型:ICMP回声(ping),目标地址为ISP1网关205.177.199.17,通过ISP1接口发送 |
frequency 5 | 监控频率:每5秒发送一次ping包 |
exit | 退出SLA监控配置 |
sla monitor schedule 1 life forever start-time now | 调度SLA实例1:永久运行,立即启动 |
sla monitor 2 | 创建IP SLA监控实例2(监控ISP2链路) |
type echo protocol ipIcmpEcho 101.78.133.2 interface ISP2 | 监控类型:ICMP回声,目标地址为ISP2网关101.78.133.2,通过ISP2接口发送 |
frequency 5 | 监控频率:每5秒发送一次ping包 |
exit | 退出SLA监控配置 |
sla monitor schedule 2 life forever start-time now | 调度SLA实例2:永久运行,立即启动 |
4.2 跟踪对象配置
| 配置命令 | 命令解释 |
|---|---|
track 1 rtr 1 reachability | 创建跟踪对象1:关联SLA实例1,跟踪目标可达性 |
track 2 rtr 2 reachability | 创建跟踪对象2:关联SLA实例2,跟踪目标可达性 |
4.3 双线路静态路由配置
| 配置命令 | 命令解释 |
|---|---|
route ISP1 0.0.0.0 0.0.0.0 205.177.199.17 1 track 1 | 配置默认路由:通过ISP1接口,下一跳205.177.199.17,管理距离1(优先级最高),关联跟踪对象1(ISP1链路正常时生效) |
route ISP2 8.8.4.4 255.255.255.255 101.78.133.2 1 track 2 | 配置主机路由:访问8.8.4.4(谷歌DNS)通过ISP2接口,下一跳101.78.133.2,管理距离1,关联跟踪对象2 |
route ISP2 0.0.0.0 0.0.0.0 101.78.133.2 10 | 配置备用默认路由:通过ISP2接口,下一跳101.78.133.2,管理距离10(优先级低于ISP1路由,ISP1故障时生效) |
route management 10.0.0.0 255.0.0.0 10.167.3.254 1 | 管理区域路由:访问10.0.0.0/8网段,下一跳10.167.3.254,管理距离1 |
route inside 10.167.0.0 255.255.0.0 10.167.2.254 1 | 内网路由:访问10.167.0.0/16网段,下一跳10.167.2.254,管理距离1 |
route inside 10.168.0.0 255.255.0.0 10.167.2.254 1 | 内网路由:访问10.168.0.0/16网段,下一跳10.167.2.254,管理距离1 |
route management 172.16.0.0 255.255.0.0 10.167.3.254 1 | 管理区域路由:访问172.16.0.0/16网段,下一跳10.167.3.254,管理距离1 |
route management 192.168.0.0 255.255.0.0 10.167.3.254 1 | 管理区域路由:访问192.168.0.0/16网段,下一跳10.167.3.254,管理距离1 |
route inside 192.168.0.0 255.255.0.0 10.167.2.254 1 | 内网路由:访问192.168.0.0/16网段,下一跳10.167.2.254,管理距离1 |
五、策略路由配置(定向转发)
| 配置命令 | 命令解释 |
|---|---|
access-list GO_WTT extended permit ip host 10.167.11.133 any | 创建ACL GO_WTT:允许主机10.167.11.133访问任意网络(策略路由匹配条件) |
access-list GO_WTT extended permit ip host 10.167.11.134 any | 允许主机10.167.11.134访问任意网络 |
access-list GO_WTT extended permit ip host 10.167.11.135 any | 允许主机10.167.11.135访问任意网络 |
access-list GO_WTT extended permit ip host 10.167.11.136 any | 允许主机10.167.11.136访问任意网络 |
access-list GO_WTT extended permit ip host 10.167.11.248 any | 允许主机10.167.11.248访问任意网络 |
route-map GO_WTT permit 10 | 创建route-map GO_WTT,序列10(允许匹配流量) |
match ip address GO_WTT | 匹配条件:符合ACL GO_WTT的流量 |
set ip next-hop verify-availability 101.78.133.2 1 track 2 | 转发动作:下一跳设为101.78.133.2(ISP2网关),验证可用性,最多1个下一跳,关联跟踪对象2(ISP2链路正常时生效) |
exit | 退出route-map配置模式 |
interface Port-channel2 | 进入内网聚合接口(Port-channel2) |
policy-route route-map GO_WTT | 应用策略路由:对该接口入站流量执行route-map GO_WTT |
exit | 退出接口配置模式 |
六、NAT配置(地址转换)
| 配置命令 | 命令解释 |
|---|---|
object network inside_11 | 创建网络对象inside_11(定义内网网段) |
subnet 10.167.11.0 255.255.255.0 | 配置对象网段:10.167.11.0/24 |
exit | 退出对象配置模式 |
object network inside_11 | 进入网络对象inside_11 |
nat (inside,ISP1) dynamic interface | 配置动态NAT:内网(inside)到ISP1接口的流量,动态转换为ISP1接口IP(上网场景) |
nat (inside,ISP1) static interface service tcp 8080 8080 | 配置静态NAT:内网8080端口映射到ISP1接口8080端口(外网访问内网服务) |
exit | 退出对象配置模式 |
object network inside_11w | 创建网络对象inside_11w(扩展内网网段NAT) |
nat (inside,ISP2) dynamic interface | 配置动态NAT:内网(inside)到ISP2接口的流量,动态转换为ISP2接口IP(备用线路上网) |
exit | 退出对象配置模式 |
七、SNMP配置(设备监控)
| 配置命令 | 命令解释 |
|---|---|
snmp-server host ISP1 103.29.22.1 community ***** udp-port 65002 | 配置SNMP服务器:允许103.29.22.1(NMS监控主机)通过ISP1接口访问,社区字符串为*****(替换为实际社区字符串),UDP端口65002 |
snmp-server community ***** | 配置SNMP只读社区字符串(与上一致,用于认证) |
snmp-server listen-port 65002 | 设置SNMP监听端口为65002(与NMS端口一致) |
no snmp-server location | 不配置设备物理位置(可根据需求添加,如snmp-server location 机房A) |
no snmp-server contact | 不配置联系人信息(可根据需求添加,如snmp-server contact admin@company.com) |
八、访问控制列表(ACL)配置
| 配置命令 | 命令解释 |
|---|---|
access-list 110 extended permit ip any any | 创建ACL 110:允许所有IP流量(宽松策略,生产环境需按需收紧) |
access-group 110 in interface ISP1 | 应用ACL 110到ISP1接口入站方向:允许外网流量进入(需根据安全需求优化) |
access-group 110 in interface ISP2 | 应用ACL 110到ISP2接口入站方向:允许外网流量进入 |
九、默认检测策略配置(安全检测)
| 配置命令 | 命令解释 |
|---|---|
class-map inspection_default | 创建类映射inspection_default |
match default-inspection-traffic | 匹配默认检测流量(系统预定义的常用协议流量) |
exit | 退出类映射配置模式 |
policy-map type inspect dns preset_dns_map | 创建DNS检测策略映射preset_dns_map |
parameters | 进入参数配置模式 |
message-length maximum client auto | 客户端DNS消息长度自动适配 |
message-length maximum 512 | DNS消息最大长度限制为512字节(防止DNS放大攻击) |
exit | 退出DNS策略配置模式 |
policy-map global_policy | 创建全局策略映射global_policy |
class inspection_default | 关联类映射inspection_default |
inspect ftp | 检测FTP协议(防御FTP漏洞攻击) |
inspect ip-options | 检测IP选项(防止IP选项滥用攻击) |
inspect netbios | 检测NetBIOS协议 |
inspect rsh | 检测RSH协议 |
inspect esmtp | 检测ESMTP协议(邮件协议安全检测) |
inspect sqlnet | 检测SQLNet协议(Oracle数据库协议) |
inspect sunrpc | 检测SunRPC协议 |
inspect tftp | 检测TFTP协议 |
inspect sip | 检测SIP协议(VOIP协议) |
inspect xdmcp | 检测XDMCP协议 |
inspect dns preset_dns_map | 应用DNS检测策略preset_dns_map |
exit | 退出全局策略配置模式 |
service-policy global_policy global | 应用全局策略到所有接口 |
十、配置验证命令(部署后检查)
| 验证命令 | 命令作用 |
|---|---|
show run | 查看完整运行配置(确认所有命令已生效) |
show ip int brief | 查看接口IP摘要信息(确认接口状态、IP配置) |
show cluster info | 查看集群状态(确认集群节点、接口、健康状态) |
show track | 查看跟踪对象状态(确认IP SLA监控结果) |
show sla monitor statistics | 查看IP SLA监控统计(确认链路丢包、延迟) |
show route | 查看路由表(确认默认路由、策略路由生效) |
show nat translation | 查看NAT转换表(确认NAT生效) |
show snmp-server | 查看SNMP配置(确认SNMP参数正确) |
show access-list | 查看ACL配置及命中计数(确认ACL生效) |
十一、注意事项
-
安全优化:生产环境中需收紧ACL策略,避免
permit ip any any,仅开放必要端口和网段;SNMP社区字符串需使用强密码,避免明文传输(建议升级SNMPv3)。 -
集群部署:集群节点需使用相同硬件型号、ASA版本,集群接口需直连或通过二层网络互联,避免跨路由。
-
链路冗余:IP SLA监控目标建议选择ISP网关或公网可靠IP(如8.8.8.8),确保链路检测准确性;管理距离配置需合理,避免路由冲突。
-
备份配置:配置完成后执行
write memory保存配置,定期备份运行配置文件。 -
版本兼容:本配置基于ASA 9.5(2),不同版本命令可能存在差异,需根据实际版本调整。
-
性能监控:定期查看接口流量、CPU/内存使用率(
show resource usage),确保链路聚合、集群功能正常发挥性能。
思科ASA防火墙综合配置指南
(集群+双线路+策略路由+IP SLA+NAT+SNMP)
文档基础信息
| 项目 | 详情 |
|---|---|
| 适用设备 | Cisco ASA 5515(8192 MB RAM,CPU Clarkdale 3058 MHz,1 CPU 4核) |
| ASA系统版本 | 9.5(2) |
| 核心功能覆盖 | 集群高可用、双ISP线路冗余、策略路由定向转发、IP SLA链路检测、NAT地址转换、SNMP设备监控 |
| 文档用途 | 分步配置指导、运维参考手册 |
一、基础配置(全局初始化)
1.1 系统核心参数配置
| 配置命令 | 命令解释 |
|---|---|
hostname ASA | 设置防火墙主机名(便于设备识别与管理) |
enable password pDkFgU8keHnDPjQR encrypted | 配置enable特权模式加密密码(替换为实际密码) |
passwd pDkFgU8keHnDPjQR encrypted | 配置控制台登录加密密码(与特权密码一致,统一管理) |
clock timezone UTC 8 | 设定时区为UTC+8(中国标准时间) |
logging enable | 启用日志功能(故障排查与安全审计必备) |
logging timestamp | 日志添加时间戳(便于定位事件发生时间) |
logging buffer-size 115200 | 日志缓冲区大小设为115200字节(存储更多日志) |
logging buffered informational | 缓冲区日志级别:信息级(记录关键操作与状态) |
pager lines 24 | 控制台分页显示行数:24行(适配常规终端) |
aaa authentication ssh console LOCAL | SSH登录认证方式:本地用户认证(增强安全性) |
username admin password VAM00M3KvXKBqXxE encrypted | 创建本地管理员用户(用户名admin,加密密码) |
ssh stricthostkeycheck | 启用SSH严格主机密钥检查(防止中间人攻击) |
ssh timeout 5 | SSH连接超时时间:5分钟(闲置自动断开) |
ssh key-exchange group dh-group1-sha1 | SSH密钥交换算法组:dh-group1-sha1(兼容常规客户端) |
console timeout 0 | 控制台登录永不超时(运维场景优化,避免频繁重登) |
1.2 全局性能与安全优化
| 配置命令 | 命令解释 |
|---|---|
xlate per-session deny tcp any4 any4 | 禁用TCP IPv4间逐会话转换(减少连接开销,优化性能) |
xlate per-session deny tcp any4 any6 | 禁用TCP IPv4→IPv6逐会话转换 |
xlate per-session deny tcp any6 any4 | 禁用TCP IPv6→IPv4逐会话转换 |
xlate per-session deny tcp any6 any6 | 禁用TCP IPv6间逐会话转换 |
xlate per-session deny udp any4 any4 eq domain | 禁用UDP DNS(53端口)IPv4间逐会话转换 |
xlate per-session deny udp any4 any6 eq domain | 禁用UDP DNS IPv4→IPv6逐会话转换 |
xlate per-session deny udp any6 any4 eq domain | 禁用UDP DNS IPv6→IPv4逐会话转换 |
xlate per-session deny udp any6 any6 eq domain | 禁用UDP DNS IPv6间逐会话转换 |
mtu management 1500 | 管理接口MTU:1500字节(默认以太网MTU,适配常规网络) |
mtu inside 1500 | 内网接口MTU:1500字节 |
mtu ISP1 1500 | ISP1接口MTU:1500字节 |
mtu ISP2 1500 | ISP2接口MTU:1500字节 |
mtu cluster 9000 | 集群接口MTU:9000字节(Jumbo帧,提升集群通信效率) |
arp timeout 14400 | ARP缓存超时:4小时(14400秒,减少ARP广播开销) |
no arp permit-nonconnected | 禁止非直连网络ARP响应(防止ARP欺骗,增强安全性) |
二、接口配置(含链路聚合)
2.1 物理接口基础配置
2.1.1 外网接口(连接ISP)
interface GigabitEthernet0/0 // 连接ISP1的物理接口
description TO ISP1 // 接口用途描述
channel-group 10 mode active // 加入通道组10,LACP主动协商模式
no nameif // 暂不配置逻辑名(端口通道统一配置)
no security-level // 暂不配置安全级别
no ip address // 暂不配置IP(端口通道统一分配)
exit
interface GigabitEthernet0/1 // 连接ISP2的物理接口
description TO ISP2 // 接口用途描述
channel-group 11 mode active // 加入通道组11,LACP主动协商模式
no nameif // 暂不配置逻辑名
no security-level // 暂不配置安全级别
no ip address // 暂不配置IP
exit
2.1.2 内网与集群接口
interface GigabitEthernet0/2 // 连接内网的物理接口
description TO INSIDE // 接口用途描述
channel-group 2 mode active // 加入通道组2,LACP主动协商模式
no nameif // 暂不配置逻辑名
no security-level // 暂不配置安全级别
no ip address // 暂不配置IP
exit
interface GigabitEthernet0/3 // 未使用物理接口
shutdown // 关闭接口(节省资源,增强安全)
no nameif
no security-level
no ip address
exit
interface GigabitEthernet0/4 // 未使用物理接口
shutdown // 关闭接口
no nameif
no security-level
no ip address
exit
interface GigabitEthernet0/5 // 集群专用物理接口
description Clustering Interface // 接口用途描述
exit
interface Management0/0 // 设备管理接口
management-only // 仅用于管理,不转发业务流量
nameif management // 逻辑接口名:management
security-level 100 // 安全级别:100(最高信任区域)
ip address 10.167.3.1 255.255.255.0 cluster-pool hkpccwidc-mgmt-pool
// 管理IP:10.167.3.1/24,关联集群管理地址池(分配节点管理IP)
exit
2.2 端口通道(链路聚合)配置
2.2.1 内网聚合接口(Port-channel2)
interface Port-channel2
description TO INSIDE // 聚合链路用途:连接内网
lacp max-bundle 8 // LACP最大聚合端口数:8(支持后续扩展)
port-channel span-cluster // 允许集群跨端口通道转发(集群模式必需)
mac-address 70e4.2285.eb02 // 固定聚合接口MAC(避免MAC漂移)
nameif inside // 逻辑接口名:inside(内网区域)
security-level 100 // 安全级别:100(信任区域)
ip address 10.167.2.253 255.255.255.0 // 内网聚合IP:10.167.2.253/24
policy-route route-map GO_WTT // 应用策略路由:调用GO_WTT规则
exit
2.2.2 ISP1聚合接口(Port-channel10)
interface Port-channel10
description TO ISP1 // 聚合链路用途:连接ISP1
lacp max-bundle 8 // LACP最大聚合端口数:8
port-channel span-cluster // 允许集群跨端口通道转发
mac-address 70e4.2285.eb10 // 固定聚合接口MAC
nameif ISP1 // 逻辑接口名:ISP1(外网区域)
security-level 0 // 安全级别:0(非信任区域)
ip address 205.177.199.18 255.255.255.240 // ISP1聚合IP:205.177.199.18/28
exit
2.2.3 ISP2聚合接口(Port-channel11)
interface Port-channel11
description TO ISP2 // 聚合链路用途:连接ISP2
lacp max-bundle 8 // LACP最大聚合端口数:8
port-channel span-cluster // 允许集群跨端口通道转发
mac-address 70e4.2285.eb11 // 固定聚合接口MAC
nameif ISP2 // 逻辑接口名:ISP2(外网区域)
security-level 0 // 安全级别:0(非信任区域)
ip address 101.78.133.2 255.255.255.240 // ISP2聚合IP:101.78.133.2/28
exit
三、集群配置(高可用部署)
ip local pool hkpccwidc-mgmt-pool 10.167.3.2-10.167.3.10 mask 255.255.255.0
// 创建集群管理地址池:10.167.3.2-10.167.3.10/24(分配给集群节点)
cluster group hkpccwidc // 创建集群组,名称:hkpccwidc
key ***** // 集群通信密钥(替换为强密码,如P@ssw0rd!)
local-unit unit1 // 本地节点名称:unit1
cluster-interface GigabitEthernet0/5 ip 100.1.1.1 255.255.255.0
// 集群接口:GigabitEthernet0/5,集群IP:100.1.1.1/24(节点间通信)
priority 1 // 集群优先级:1(数值越小优先级越高,为主节点)
health-check holdtime 3 // 健康检查保持时间:3秒(超时判定故障)
health-check data-interface auto-rejoin 3 5 2
// 数据接口自动重连:最多3次,间隔5秒,单次超时2秒
health-check cluster-interface auto-rejoin unlimited 5 1
// 集群接口自动重连:无限次,间隔5秒,单次超时1秒
clacp system-mac auto system-priority 1
// 集群LACP系统MAC:自动生成,系统优先级1(LACP协商优先级)
enable // 启用集群功能
exit
四、IP SLA与链路跟踪(双线路冗余)
4.1 IP SLA链路监控配置
// 监控ISP1链路(实例1)
sla monitor 1
type echo protocol ipIcmpEcho 205.177.199.17 interface ISP1
// 监控类型:ICMP回声(ping),目标:ISP1网关205.177.199.17,出接口:ISP1
frequency 5 // 监控频率:5秒/次(实时检测链路状态)
exit
sla monitor schedule 1 life forever start-time now
// 调度监控:永久运行,立即启动
// 监控ISP2链路(实例2)
sla monitor 2
type echo protocol ipIcmpEcho 101.78.133.2 interface ISP2
// 监控类型:ICMP回声,目标:ISP2网关101.78.133.2,出接口:ISP2
frequency 5 // 监控频率:5秒/次
exit
sla monitor schedule 2 life forever start-time now
// 调度监控:永久运行,立即启动
4.2 跟踪对象配置(关联IP SLA)
track 1 rtr 1 reachability // 跟踪对象1:关联SLA实例1,监控链路可达性
track 2 rtr 2 reachability // 跟踪对象2:关联SLA实例2,监控链路可达性
4.3 双线路静态路由配置(基于跟踪的冗余)
// 主默认路由(ISP1,优先级最高)
route ISP1 0.0.0.0 0.0.0.0 205.177.199.17 1 track 1
// 出接口:ISP1,下一跳:ISP1网关,管理距离1(最高优先级),关联跟踪1(ISP1正常时生效)
// 特定主机路由(ISP2,谷歌DNS)
route ISP2 8.8.4.4 255.255.255.255 101.78.133.2 1 track 2
// 目标:8.8.4.4(谷歌DNS),出接口:ISP2,下一跳:ISP2网关,管理距离1,关联跟踪2
// 备用默认路由(ISP2,优先级较低)
route ISP2 0.0.0.0 0.0.0.0 101.78.133.2 10
// 出接口:ISP2,下一跳:ISP2网关,管理距离10(ISP1故障时自动切换)
// 管理区域路由(访问内网管理网段)
route management 10.0.0.0 255.0.0.0 10.167.3.254 1
route management 172.16.0.0 255.255.0.0 10.167.3.254 1
route management 192.168.0.0 255.255.0.0 10.167.3.254 1
// 内网业务路由(访问内网业务网段)
route inside 10.167.0.0 255.255.0.0 10.167.2.254 1
route inside 10.168.0.0 255.255.0.0 10.167.2.254 1
route inside 192.168.0.0 255.255.0.0 10.167.2.254 1
五、策略路由配置(定向转发)
5.1 访问控制列表(ACL)定义匹配流量
access-list GO_WTT extended permit ip host 10.167.11.133 any
access-list GO_WTT extended permit ip host 10.167.11.134 any
access-list GO_WTT extended permit ip host 10.167.11.135 any
access-list GO_WTT extended permit ip host 10.167.11.136 any
access-list GO_WTT extended permit ip host 10.167.11.248 any
// 定义策略路由匹配流量:5台内网主机(133/134/135/136/248)的所有出站流量
5.2 Route-map定义转发规则
route-map GO_WTT permit 10
match ip address GO_WTT // 匹配ACL GO_WTT定义的流量
set ip next-hop verify-availability 101.78.133.2 1 track 2
// 转发动作:下一跳=ISP2网关101.78.133.2,验证可用性,关联跟踪2(ISP2正常时生效)
exit
5.3 应用策略路由到接口
interface Port-channel2 // 进入内网聚合接口
policy-route route-map GO_WTT // 应用策略路由:对该接口入站流量执行GO_WTT规则
exit
六、NAT配置(地址转换)
6.1 动态NAT(内网访问外网)
object network inside_11 // 创建网络对象:定义内网网段
subnet 10.167.11.0 255.255.255.0 // 网段:10.167.11.0/24
exit
object network inside_11
nat (inside,ISP1) dynamic interface
// 动态NAT:inside→ISP1,内网IP转换为ISP1接口IP(主线路上网)
exit
object network inside_11w
nat (inside,ISP2) dynamic interface
// 动态NAT:inside→ISP2,内网IP转换为ISP2接口IP(备用线路上网)
exit
6.2 静态NAT(外网访问内网服务)
object network inside_11
nat (inside,ISP1) static interface service tcp 8080 8080
// 静态NAT:内网8080端口→ISP1接口8080端口(外网访问内网8080服务)
exit
七、SNMP配置(设备监控)
snmp-server host ISP1 103.29.22.1 community ***** udp-port 65002
// 允许NMS监控主机(103.29.22.1)通过ISP1接口访问,社区字符串=*****,UDP端口=65002
snmp-server community ***** // SNMP只读社区字符串(与上一致,认证用)
snmp-server listen-port 65002 // SNMP监听端口:65002(与NMS端口一致)
no snmp-server location // 不配置设备物理位置(可选:snmp-server location 机房A)
no snmp-server contact // 不配置联系人(可选:snmp-server contact admin@xxx.com)
八、访问控制列表(ACL)配置
access-list 110 extended permit ip any any
// 宽松ACL:允许所有IP流量(生产环境需优化,仅开放必要端口/网段,如80/443)
access-group 110 in interface ISP1
// 应用ACL到ISP1接口入站:允许外网流量进入(需按需收紧)
access-group 110 in interface ISP2
// 应用ACL到ISP2接口入站:允许外网流量进入(需按需收紧)
九、默认安全检测策略配置
// 类映射:匹配默认检测流量
class-map inspection_default
match default-inspection-traffic
exit
// DNS检测策略:限制消息长度
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto // 客户端DNS消息长度自动适配
message-length maximum 512 // DNS消息最大长度512字节(防DNS放大攻击)
exit
// 全局检测策略:启用常用协议检测
policy-map global_policy
class inspection_default
inspect ftp // 检测FTP协议
inspect ip-options // 检测IP选项(防攻击)
inspect netbios // 检测NetBIOS协议
inspect rsh // 检测RSH协议
inspect esmtp // 检测ESMTP协议(邮件安全)
inspect sqlnet // 检测SQLNet协议(Oracle数据库)
inspect sunrpc // 检测SunRPC协议
inspect tftp // 检测TFTP协议
inspect sip // 检测SIP协议(VOIP)
inspect xdmcp // 检测XDMCP协议
inspect dns preset_dns_map // 应用DNS检测策略
exit
// 应用全局策略到所有接口
service-policy global_policy global
十、配置验证命令(部署后检查)
| 验证命令 | 作用说明 |
|---|---|
show run | 查看完整运行配置(确认所有命令生效) |
show ip int brief | 查看接口IP摘要(状态、IP、掩码) |
show cluster info | 查看集群状态(节点、接口、健康度) |
show track | 查看跟踪对象状态(链路可达性) |
show sla monitor statistics | 查看IP SLA统计(丢包、延迟) |
show route | 查看路由表(确认路由生效) |
show nat translation | 查看NAT转换表(确认NAT生效) |
show snmp-server | 查看SNMP配置(确认监控参数) |
show access-list | 查看ACL配置及命中计数(确认ACL生效) |
十一、注意事项
-
安全加固:
-
生产环境需替换默认密码(enable、SNMP社区字符串),使用强密码(字母+数字+特殊字符)。
-
ACL需收紧,避免
permit ip any any,仅开放必要端口(如80/443/22)和信任网段。 -
建议升级SNMPv3(替代SNMPv2c),启用认证和加密,避免社区字符串泄露。
-
-
集群部署:
-
集群节点需硬件型号、ASA版本一致,集群接口需直连或二层互联(避免跨路由)。
-
健康检查参数可根据实际网络调整(如holdtime、auto-rejoin次数)。
-
-
链路冗余:
-
IP SLA监控目标建议选择ISP网关或公网可靠IP(如8.8.8.8/1.1.1.1),确保检测准确性。
-
管理距离配置需合理(主路由<备用路由),避免路由冲突。
-
-
配置备份:
-
配置完成后执行
write memory(或copy running-config startup-config)保存配置。 -
定期备份配置文件(通过TFTP/FTP导出),避免配置丢失。
-
-
版本兼容:
- 本配置基于ASA 9.5(2),不同版本命令可能存在差异(如SLA命令在新版本为
ip sla而非sla monitor),需根据实际版本调整。
- 本配置基于ASA 9.5(2),不同版本命令可能存在差异(如SLA命令在新版本为
-
性能监控:
- 定期执行
show resource usage查看CPU/内存使用率,show interface查看接口流量,确保设备运行正常。
- 定期执行
