ASA5585防火墻IDC機房上架記

第一步：產品采購
訂單明細如下：

   這點東西，總計花了公司35萬人民幣。思科的服務真貴，三年就要13萬9人民幣。其實服務費，國外公司都貴，不管是思科，還是oracle，還是IBM小機。

第二步：驗收硬件
    與供貨商工程師一起，驗收設備。大箱子是ASA5585防火墻，小箱子是冗余電源。還購買了兩個SM多模光纖，找機房問問，說是在庫房。硬件上沒有什么設備丟失的了，包裝也完好，那拆箱吧。

第三步：上架前準備
3.1上冗余電源模塊，上機箱耳朵，ASA5585防火墻像一臺dell R710服務器。

3.2機柜騰空間
   在一個機柜中把cisco 3825路由器下架，就空出一個2U的空間了，把ASA5585上到這。

第四步：上架
   這個時候，我傻了，電源線插頭是16A的，無法接到機柜的排插里。我在購買這款產品時，特意問了思科原廠工程師，他說電源插頭是標準的，國標，所以我來北京之前，沒想過電源線的插頭有問題。找遍北京酒仙橋方圓1000米的蘇寧，大超市，五金，格力空調專賣，都沒有10A轉16A的轉換頭，沒辦法，taobao一下，發(fā)現(xiàn)安定門外大街的肖家胡同43號有賣，打個的去，買了兩個轉換頭，花了20元。
打的費60塊，插頭20塊，總計花了80塊，就為了兩個轉換頭，并浪費了我4個小時，所以大家要注意啊，高端產品的電力問題，如HP刀片機箱，IBM小機。

第五步：軟件驗收
登錄ASA5585，“show version”一下，看下里面的軟件版權與License

  根據(jù)采購單的明細表對比“show version”，發(fā)現(xiàn)有一項少了，即“ASA5585-SEC-PL”，其它都正常，把這個疑問登記在案，并電話供貨商的售前經(jīng)理，他查了，說是合同里沒有標明有這項，暫不管了，回深圳去對下原始合同。

第六步：功能調試
6.1、內外網(wǎng)路由
Inter e0/0
Nameif outside
Security-level 0
Ip address 211.xxx.193.x 255.255.255.128

Int e0/1
Name if inside
Security-level 100
Ip add 10.98.2.5 255.255.255.0
外網(wǎng)路由：route outside 0.0.0.0 0.0.0.0 211.xxx.193.1
內網(wǎng)路由：route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.2、設置主機名和域名：
hostname ASA5585-20
domain-name xxxx.com
6.3、設置enable密碼，命令如下：
Enable password xxxxxx //密碼當場配置時定，取8位以上
6.4、設置帳戶和密碼，命令如下：
Username xxxx password xxxx privilege 15 //為ASDM和SSH控制使用
Crypto key generate rsa modulus 1024 //生成ssh登錄時的密鑰
6.5、啟用telnet和SSH訪問防火墻
telnet 0.0.0.0 0.0.0.0 inside //啟用內網(wǎng)的telnet
telnet timeout 5
aaa authentication enable console LOCAL //設置en認證為本地認證
aaa authentication telnet console LOCAL //設置telnet證為本地認證
aaa authentication ssh console LOCAL //設置SSH的認證為本地認證
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside //起用內部和外部接口的SSH
ssh timeout 30
ssh version 2 //設置SSH版本為2
console timeout 0

6.6、NAT轉換及映射（8.4版）
6.6.1轉換內部服務器上網(wǎng)
Object network inside-outside-all  //內網(wǎng)服務器NAT上網(wǎng)
Subnet 0.0.0.0 0.0.0.0
Nat (inside,outside) dynamic 211.xxx.193.10 

6.6.2映射www及開放端口等
Object ntwork inside-server215    //內網(wǎng)web服務器映射80端口到互聯(lián)網(wǎng)
Host 10.98.2.25
nat (inside,outside) static 211.xxx.193.12 service tcp www www
6.6.3開放映射端口
Access-list pass-policy extended permit icmp any any
Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 VPN連接（8.4版）
object network szzb               //定義深圳VPN組
subnet 172.16.4.0 255.25.255.0

object network bjwz              //定義北京VPN組
subnet 10.98.2.0 255.255.255.0

access-list bj-sz-vpn extended permit ip object obj-172.16.4.0 object obj-10.98.2.0
nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set vpn_set esp-des esp-md5-hmac
crypto map vpn_map 70 match address bj-sz-vpn
crypto map vpn_map 70 set peer 124.114.169.xx
crypto map vpn_map 70 set ikev1 transform-set vpn_set

crypto map vpn_map interface outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l
tunnel-group 124.x.x.x ipsec-attributes
ikev1 pre-shared-key cisco.com
xxxxxxx

第七步： NAT驗證及VPN參數(shù)驗證
Show nat detail
Show xlate
Show conn
Show run nat
Show nat pool

Sh crypto isakmp sa
Sh crypto ipsec sa
Sh crypto isakmp stats
 

億恩-天使(QQ:530997) 電話 037160135991 服務器租用，托管歡迎咨詢。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]