ASA5585防火墻IDC機(jī)房上架記

第一步：產(chǎn)品采購(gòu)
訂單明細(xì)如下：

   這點(diǎn)東西，總計(jì)花了公司35萬(wàn)人民幣。思科的服務(wù)真貴，三年就要13萬(wàn)9人民幣。其實(shí)服務(wù)費(fèi)，國(guó)外公司都貴，不管是思科，還是oracle，還是IBM小機(jī)。

第二步：驗(yàn)收硬件
    與供貨商工程師一起，驗(yàn)收設(shè)備。大箱子是ASA5585防火墻，小箱子是冗余電源。還購(gòu)買了兩個(gè)SM多模光纖，找機(jī)房問(wèn)問(wèn)，說(shuō)是在庫(kù)房。硬件上沒(méi)有什么設(shè)備丟失的了，包裝也完好，那拆箱吧。

第三步：上架前準(zhǔn)備
3.1上冗余電源模塊，上機(jī)箱耳朵，ASA5585防火墻像一臺(tái)dell R710服務(wù)器。

3.2機(jī)柜騰空間
   在一個(gè)機(jī)柜中把cisco 3825路由器下架，就空出一個(gè)2U的空間了，把ASA5585上到這。

第四步：上架
   這個(gè)時(shí)候，我傻了，電源線插頭是16A的，無(wú)法接到機(jī)柜的排插里。我在購(gòu)買這款產(chǎn)品時(shí)，特意問(wèn)了思科原廠工程師，他說(shuō)電源插頭是標(biāo)準(zhǔn)的，國(guó)標(biāo)，所以我來(lái)北京之前，沒(méi)想過(guò)電源線的插頭有問(wèn)題。找遍北京酒仙橋方圓1000米的蘇寧，大超市，五金，格力空調(diào)專賣，都沒(méi)有10A轉(zhuǎn)16A的轉(zhuǎn)換頭，沒(méi)辦法，taobao一下，發(fā)現(xiàn)安定門外大街的肖家胡同43號(hào)有賣，打個(gè)的去，買了兩個(gè)轉(zhuǎn)換頭，花了20元。
打的費(fèi)60塊，插頭20塊，總計(jì)花了80塊，就為了兩個(gè)轉(zhuǎn)換頭，并浪費(fèi)了我4個(gè)小時(shí)，所以大家要注意啊，高端產(chǎn)品的電力問(wèn)題，如HP刀片機(jī)箱，IBM小機(jī)。

第五步：軟件驗(yàn)收
登錄ASA5585，“show version”一下，看下里面的軟件版權(quán)與License

  根據(jù)采購(gòu)單的明細(xì)表對(duì)比“show version”，發(fā)現(xiàn)有一項(xiàng)少了，即“ASA5585-SEC-PL”，其它都正常，把這個(gè)疑問(wèn)登記在案，并電話供貨商的售前經(jīng)理，他查了，說(shuō)是合同里沒(méi)有標(biāo)明有這項(xiàng)，暫不管了，回深圳去對(duì)下原始合同。

第六步：功能調(diào)試
6.1、內(nèi)外網(wǎng)路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128

Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外網(wǎng)路由：route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
內(nèi)網(wǎng)路由：route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.2、設(shè)置主機(jī)名和域名：
hostname ASA5585-20
domain-name xxxx.com
6.3、設(shè)置enable密碼，命令如下：
Enable password xxxxxx //密碼當(dāng)場(chǎng)配置時(shí)定，取8位以上
6.4、設(shè)置帳戶和密碼，命令如下：
Username xxxx password xxxx privilege 15 //為ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登錄時(shí)的密鑰
6.5、啟用telnet和SSH訪問(wèn)防火墻
telnet 0.0.0.0 0.0.0.0 inside //啟用內(nèi)網(wǎng)的telnet
telnet timeout 5
aaa authentication enable console LOCAL //設(shè)置en認(rèn)證為本地認(rèn)證
aaa authentication telnet console LOCAL //設(shè)置telnet證為本地認(rèn)證
aaa authentication ssh console LOCAL //設(shè)置SSH的認(rèn)證為本地認(rèn)證
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用內(nèi)部和外部接口的SSH
ssh timeout 30
ssh version 2 //設(shè)置SSH版本為2
console timeout 0

6.6、NAT轉(zhuǎn)換及映射（8.4版）
6.6.1轉(zhuǎn)換內(nèi)部服務(wù)器上網(wǎng)
Object network inside-outside-all  //內(nèi)網(wǎng)服務(wù)器NAT上網(wǎng)
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10 

6.6.2映射www及開(kāi)放端口等
Object ntwork inside-server215    //內(nèi)網(wǎng)web服務(wù)器映射80端口到互聯(lián)網(wǎng)
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3開(kāi)放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 VPN連接（8.4版）
object network szzb               //定義深圳VPN組
subnet 172.16.4.0 255.25.255.0

object network bjwz              //定義北京VPN組
subnet 10.98.2.0 255.255.255.0

access-list bj-sz-vpn extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set vpn_set esp-des esp-md5-hmac
crypto map vpn_map 70 match address bj-sz-vpn
crypto map vpn_map 70 set peer 124.114.169.xx
crypto map vpn_map 70 set ikev1 transform-set vpn_set

crypto map vpn_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx

第七步： NAT驗(yàn)證及VPN參數(shù)驗(yàn)證
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool

Sh crypto isakmp sa
Sh crypto ipsec sa
Sh crypto isakmp stats
 

億恩-天使(QQ:530997) 電話 037160135991 服務(wù)器租用，托管歡迎咨詢。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]