ASA 与 ASA 之间建立 IPsec (IKEv1 with PSK)

ASA-1 预配

interface GigabitEthernet0/0
 nameif OUT
 security-level 0
 ip address 1.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif IN
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
route OUT 0.0.0.0 0.0.0.0 1.1.1.2

ASA-2 预配

interface GigabitEthernet0/0
 nameif OUT
 security-level 0
 ip address 1.1.1.2 255.255.255.252
!
interface GigabitEthernet0/1
 nameif IN
 security-level 100
 ip address 172.16.1.1 255.255.255.0
!
route OUT 0.0.0.0 0.0.0.0 1.1.1.1

继续阅读“ASA 与 ASA 之间建立 IPsec (IKEv1 with PSK)”

Cisco ASA Redundant Interface 配置案例

测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16

Cisco ASA Redundant Interface 是一种接口层面的冗余配置,它和 EtherChannel 不同的是 Redundant Interface 运行在 Active/Passive 模式下,不对数据做 load balancing,只支持绑定两个物理接口。ASA 会将第一个 active 的接口 MAC 地址作为 Redundant Interface 的 MAC。

继续阅读“Cisco ASA Redundant Interface 配置案例”

Cisco ASA Clustering 配置案例

Cisco ASA Clustering 有两种模式:individual 和 spanned。individual 表示 cluster 中的每台 ASA 的每个接口都有一个独立的 IP 地址,spanned 表示整个 cluster 只有 Master Unit 才有 IP 地址,所有的接口以 EtherChannel 的形式存在。唯一的例外是 management-only 接口,我们可以在 spanned mode 下为 cluster 中的每台 ASA 配置一个独立的 IP 地址,这样方便管理。Cisco 推荐的模式为 spanned mode + individual MGMT IP。关于 clustering 理论的部分可以参考 《Cisco ASA Series CLI Configuration Guide, 9.0 – Chapter: Configuring a Cluster of ASAs》

测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16

继续阅读“Cisco ASA Clustering 配置案例”

Cisco ASA Manual NAT – Dynamic NAT (Policy NAT)

知识点强化:
    • Manual NAT 又称为 Twice NAT
    • Manual NAT 一般应用于同时转换 Source 和 Destination
    • Policy NAT 是通过 Manual NAT 来实现的
      • Policy NAT 只是一个概念,即 NAT 是否执行是根据配置的 Policy 来决定
      • Policy 是通过 Manual NAT 来配置
      • Identity NAT 也在通过 Policy 来实现的
    • Dynamic NAT 临时双向通信
      • 只能从内向外发送数据包,当连接建立后可从外向内发送数据包

      • 前提是 ACL 已允许双向通信
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

继续阅读“Cisco ASA Manual NAT – Dynamic NAT (Policy NAT)”

Cisco ASA Manual NAT – Static NAT (Policy & Identity NAT)

知识点强化:
    • Manual NAT 又称为 Twice NAT
    • Manual NAT 一般应用于同时转换 Source 和 Destination
    • Policy NAT 是通过 Manual NAT 来实现的
      • Policy NAT 只是一个概念,即 NAT 是否执行是根据配置的 Policy 来决定
      • Policy 是通过 Manual NAT 来配置
      • Identity NAT 也在通过 Policy 来实现的
    • Static NAT 双向通信(前提是 ACL 已允许双向通信 )
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

继续阅读“Cisco ASA Manual NAT – Static NAT (Policy & Identity NAT)”