ASA5585防火墻IDC機(jī)房上架記

第一步：產(chǎn)品采購
訂單明細(xì)如下：

   這點(diǎn)東西，總計(jì)花了公司35萬人民幣。思科的服務(wù)真貴，三年就要13萬9人民幣。其實(shí)服務(wù)費(fèi)，國外公司都貴，不管是思科，還是oracle，還是IBM小機(jī)。

第二步：驗(yàn)收硬件
    與供貨商工程師一起，驗(yàn)收設(shè)備。大箱子是ASA5585防火墻，小箱子是冗余電源。還購買了兩個(gè)SM多模光纖，找機(jī)房問問，說是在庫房。硬件上沒有什么設(shè)備丟失的了，包裝也完好，那拆箱吧。

第三步：上架前準(zhǔn)備
3.1上冗余電源模塊，上機(jī)箱耳朵，ASA5585防火墻像一臺(tái)dell R710服務(wù)器。

3.2機(jī)柜騰空間
   在一個(gè)機(jī)柜中把cisco 3825路由器下架，就空出一個(gè)2U的空間了，把ASA5585上到這。

第四步：上架
   這個(gè)時(shí)候，我傻了，電源線插頭是16A的，無法接到機(jī)柜的排插里。我在購買這款產(chǎn)品時(shí)，特意問了思科原廠工程師，他說電源插頭是標(biāo)準(zhǔn)的，國標(biāo)，所以我來北京之前，沒想過電源線的插頭有問題。找遍北京酒仙橋方圓1000米的蘇寧，大超市，五金，格力空調(diào)專賣，都沒有10A轉(zhuǎn)16A的轉(zhuǎn)換頭，沒辦法，taobao一下，發(fā)現(xiàn)安定門外大街的肖家胡同43號(hào)有賣，打個(gè)的去，買了兩個(gè)轉(zhuǎn)換頭，花了20元。
打的費(fèi)60塊，插頭20塊，總計(jì)花了80塊，就為了兩個(gè)轉(zhuǎn)換頭，并浪費(fèi)了我4個(gè)小時(shí)，所以大家要注意啊，高端產(chǎn)品的電力問題，如HP刀片機(jī)箱，IBM小機(jī)。

第五步：軟件驗(yàn)收
登錄ASA5585，“show version”一下，看下里面的軟件版權(quán)與License

  根據(jù)采購單的明細(xì)表對比“show version”，發(fā)現(xiàn)有一項(xiàng)少了，即“ASA5585-SEC-PL”，其它都正常，把這個(gè)疑問登記在案，并電話供貨商的售前經(jīng)理，他查了，說是合同里沒有標(biāo)明有這項(xiàng)，暫不管了，回深圳去對下原始合同。

第六步：功能調(diào)試
6.1、內(nèi)外網(wǎng)路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128

Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外網(wǎng)路由：route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
內(nèi)網(wǎng)路由：route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.2、設(shè)置主機(jī)名和域名：
hostname ASA5585-20
domain-name xxxx.com
6.3、設(shè)置enable密碼，命令如下：
Enable password xxxxxx //密碼當(dāng)場配置時(shí)定，取8位以上
6.4、設(shè)置帳戶和密碼，命令如下：
Username xxxx password xxxx privilege 15 //為ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登錄時(shí)的密鑰
6.5、啟用telnet和SSH訪問防火墻
telnet 0.0.0.0 0.0.0.0 inside //啟用內(nèi)網(wǎng)的telnet
telnet timeout 5
aaa authentication enable console LOCAL //設(shè)置en認(rèn)證為本地認(rèn)證
aaa authentication telnet console LOCAL //設(shè)置telnet證為本地認(rèn)證
aaa authentication ssh console LOCAL //設(shè)置SSH的認(rèn)證為本地認(rèn)證
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用內(nèi)部和外部接口的SSH
ssh timeout 30
ssh version 2 //設(shè)置SSH版本為2
console timeout 0

6.6、NAT轉(zhuǎn)換及映射（8.4版）
6.6.1轉(zhuǎn)換內(nèi)部服務(wù)器上網(wǎng)
Object network inside-outside-all  //內(nèi)網(wǎng)服務(wù)器NAT上網(wǎng)
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10 

6.6.2映射www及開放端口等
Object ntwork inside-server215    //內(nèi)網(wǎng)web服務(wù)器映射80端口到互聯(lián)網(wǎng)
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3開放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 VPN連接（8.4版）
object network szzb               //定義深圳VPN組
subnet 172.16.4.0 255.25.255.0

object network bjwz              //定義北京VPN組
subnet 10.98.2.0 255.255.255.0

access-list bj-sz-vpn extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set vpn_set esp-des esp-md5-hmac
crypto map vpn_map 70 match address bj-sz-vpn
crypto map vpn_map 70 set peer 124.114.169.xx
crypto map vpn_map 70 set ikev1 transform-set vpn_set

crypto map vpn_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx

第七步： NAT驗(yàn)證及VPN參數(shù)驗(yàn)證
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool

Sh crypto isakmp sa
Sh crypto ipsec sa
Sh crypto isakmp stats
 

億恩-天使(QQ:530997) 電話 037160135991 服務(wù)器租用，托管歡迎咨詢。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]