A10 4.0.1-VRRP-A配置手册v1.0-20150715

A10 VRRP-A配置手册

ACOS 4.0.1

2015版

1VRRP-A 概述 (2)

1.1 VRRP-A 概述 (2)

1.2 VRRP-A配置 (3)

1.3 VRRP-A与虚拟路由ID（VRID） (4)

1.3.1 主从VRID (5)

1.3.2 VRID虚拟MAC地址 (5)

1.3.3 VRRP-A，VRID，以及分区 (5)

1.4 VRRP-A主/备选举 (5)

1.4.1 VRRP-A主设备选举概述 (6)

1.4.2 权重与优先级事件追踪 (7)

1.4.3 优先级计算 (7)

1.4.4 事件追踪延时 (7)

1.4.5 抢占 (7)

1.4.6 抢占时延 (7)

1.4.7 主设备选举举例 (8)

1.5 VRRP-A故障切换 (10)

1.5.1 基于策略故障切换 (10)

1.5.2 动态优先级降低 (11)

1.5.3 Force-self-standby (11)

1.6 VRRP-A浮动IP (11)

1.6.1 故障切换后浮动地址MAC广播 (12)

1.7 VRRP-A配置同步 (12)

1.8 VRRP-A会话同步 (12)

1.9 VRRP-A接口 (13)

1.9.1 VRRP-A接口配置明细 (13)

1.9.2 VRRP-A接口类型与接口状态 (13)

1.9.3 使用GUI配置VRRP-A接口 (14)

1.9.4 优选接收同步会话接口 (14)

2部署VRRP-A (15)

2.1 基础VRRP-A配置 (15)

2.2 force-self-standby重新载入或者重新启动保持 (15)

2.3 查看VRRP-A信息 (16)

2.4 配置抢占时延 (16)

2.5 VRRP-A配置示例 (16)

2.5.1 基本部署 (16)

2.5.2 自定义优先级部署设置 (17)

2.5.3 配置追踪选项 (18)

2.6 配置主和从VRID (21)

2.6.1 配置示例一 (21)

2.6.2 配置示例二 (22)

3VRRP-A基于策略的切换模板 (22)

3.1 模板规则和分区 (23)

3.1.1 共享分区故障切换策略模板. (23)

3.1.2 L3V分区故障切换策略模板 (23)

3.2 抢占级别 (24)

3.3 优先级导致故障切换 (24)

3.3.1 高权重方案 (24)

3.3.2 高优先级方案 (25)

3.3.3 相同权重及优先级方案 (25)

3.4 跟踪事件权重 (26)

4配置基于策略模板的VRRP-A (28)

4.1.1 使用GUI配置基于策略模板的VRRP-A (28)

4.1.2 为L3V分区生成模板 (28)

4.1.3 验证策略模板配置 (29)

1VRRP-A 概述

1.1VRRP-A 概述

VRRP-A是ACOS实现高可用性方式，它与行业标准的虚拟路由器冗余协议（VRRP）实施完全不同。为了业务的方便，它借用了VRRP的概念，但它与VRRP显著不同，VRRP-A与VRRP不会进行互操作。VRRP-A简化了多系统的冗余配置，并允许多达八个ACOS设备作为IP互备份。

VRRP-A只支持网关（路由）模式及单臂模式部署的情况，不支持透明模式部署。

VRRP-A可以提供下面的IP资源的冗余：

●虚拟服务IP

●下游设备默认网关的浮动地址

●IPV4 NAT池

●IPV6 NAT池

●IPV4 静态范围列表和内部源NAT

1.2VRRP-A配置

这一部分包含以下内容

●VRRP-A基本配置

●VRRP-A与虚拟路由ID

●VRRP-A虚拟路由ID与分区

图1给出了两个设备一个基本的VRRP-A的配置示例图一：基础VRRP-A配置

这一类型被称为主备模式，因为只有主设备处理流量该图中元素在表一中描述：

行配置

Priority优先级帮助选举哪一个standby设备为被选举为active设备。

1.3VRRP-A与虚拟路由ID（VRID）

VRRP-A device ID，set ID，和优先级可以在每个VRID里配置，如图二所示：

图二：VRID中配置VRRP-A

图二示例的配置为主-主模式，因为两个设备都可要要处理不同VIP的流量。

一个VRID是一个逻辑分组来配置相关元素（例如，NAT池，虚拟服务器，或者浮动IP

地址）在一起。反过来，在发生切换的时候被另一个设备继承。

缺省情况下，共享分区以及每个L3V分区都有自己的VRID。默认为VRID为0，在以前的版本中，你可以使用默认关键字配置VRID，而在4.0版本中不再支持。

有读写权限的管理员可以分配一个浮动IP地址到分区的VRID，通常情况下，浮动ip作为下游设备的网关地址，active设备的有关参数以及切换也可以在此配置。

一共可配置512组VRID，共享分区可配置32个（0~31），每个L3V分区可以配置8个（0~7）。

1.3.1主从VRID

随着VRID数量从0~512的增长，您可以配置一个主VRID和一些其他从VRID。配置主VRID的好处是：当你面临要使用所有资源的风险时，一个VRID可以被配置为主，而其他的都被配置为从。这意味着你只在一个VRID配置相关功能，如配置故障切换策略模板、抢占方式、优先级、跟踪选项，而在从的VRID，你只能配置浮动IP地址。

一台设备最大支持配置512个VRID，当任何时候超过此数目时，VRID会自动配置为从VRID，或者被添加作为一个从VRID。配置主从VRID，请参阅“配置主从VRID”。

1.3.2VRID虚拟MAC地址

VRRP-A会分配一个虚拟MAC地址给每个VRID，VRRP-A虚拟MAC地址会被以如下的方式分配：021f.a000.nnnn

最后两个字节（nnnn部分）表明了分区ID，VRRP-A set ID以及VRID。

1.3.3VRRP-A，VRID，以及分区

VRRP-A支持共享分区以及L3V分区，L3V允许每个L3V分区有自己的VRID并且独立于其他的分区VRID。

图三表明了跨越不同物理设备的L3V分区VRID配置示例：

图三：VRRP-A分区配置

在此示例中，一对设备配置了L3V分区，VIP以及其他IP资源通过分区VRID备份，在任何时间内，VRID中一个为主一个为备。更多VRRP-A主选举信息请参考VRRP-A主standby 设备选举。

1.4VRRP-A主/备选举

这一部分包含以下内容：

●VRRP-A主设备选举概述

●权重与优先级事件追踪

●优先级计算

●事件追踪延时

●抢占模式

●抢占时延

1.4.1VRRP-A主设备选举概述

图四工作流表说明了一个设备是如何被选举为active的，每个VRID都是按照此流程工作：

注意事项：VRRP-A active设备选举过程与acvs中vmaster的选举过程独立且无关联。

VRRP-A主设备的选举过程包含了故障切换注意事项的两个层面：

●分配给一个事件权重

●优先级分配作为VRRP-A部署的一部分

虽然权重与优先级都是故障切换的因素，但是VRID权重优先于VRID的优先级。

每个VRID被分配一个固定且不超过65534的权重，且总权重与事件的1~255为相对应关系，当事件发生时，所配置的权重是为事件分配的权重中扣除，某些事件（例如，当一个接口down）被认为是对VRID非常关键，并会降低VRID的权重，ACOS设备会周期性的与同组对端设备交换权重信息。VRRP-A根据接收到的权重信息来判断active还是standby，ACOS设备会基于最新计算出来的权重来进行切换，这一过程被称为抢占。

基于权重的抢占始终处于启用状态，而基于优先级的抢占可以开启或者禁用。

1.4.2权重与优先级事件追踪

一个ACOS设备可以被配置为追踪权重或者优先级或者两者皆追踪，而且权重或优先级的追踪事件为相同的，比如：网关、VLAN、接口以及trunk的状态，他们是如何通过以及如何被分配值是不同的。

在VRRP-A配置级别下使用GUI或者CLI配置VRRP-A时，你可以指明优先级分配给每一个事件。当事件发生时，你为VRID分配的1~255的值将被从优先级扣除。但是，当你使用VRRP-A模板为故障转移分配一个值得时候，你配置分配给一个事件的值将会被一个65534中的固定值将会在每一个ACOS设备的VRID扣除。

一个VRID的固定总权重不像为ACOS设备分配优先级一样是用户所配置的，一个失败的事件将会导致固定的VRID权重值减少。

由于每一个VRID权重相符合有一个ACOS设备，当多个设备被配置为VRRP-A时，这个值将被衡量设备作为主设备或者备份设备，当所有VRRP-A设备权重不一样时，权重最高的那个设备作为active设备，其余的作为standby设备。

1.4.3优先级计算

每隔几秒钟，VRRP-A会冲重新再active设备上计算每个VRID的优先级。

在计算优先级时，VRRP-A会减去已发生且已经在设备上配置过的失败事件值，而这个值最低可被减至1。

一旦链路或者服务器恢复，并且触发切换的事件不再发生，在下一次优先级计算时值将不会被减去。

1.4.4事件追踪延时

为防止因为短暂、临时的链路或服务器健康状况变化导致的不必要的切换，VRRP-A采用了追踪延时。事件追踪延时是故障切换前设备保持原状态的时间，举个列子，如果事件追踪延时是5秒，当链路故障发生了3秒之后变为正常，那么故障切换将不会发生，故障切换只有在链路down5秒之后才会发生。

事件追踪延时可以配置为1秒~10秒，默认为5秒。

1.4.5抢占

抢占允许手工更改优先级使active设备不再保持在最高优先级值得时候发生切换，抢占默认情况下是启用的，如果抢占被禁用了，故障切换不会被人工修改优先级触发。

抢占可以在共享分区和私人分区中在VRID中单独配置。

1.4.6抢占时延

如果VRRP-A的抢占已经被启用，除了网络变化外，故障切换可以被VRRP-A的配置更改触发。默认情

况下，故障切换在适用的配置发生更改后3秒发生。

这个版本允许您配置VRRP-A配置发生变化和变化导致故障切换的时延。

或者，您可以设置抢占时延的值，1~255。默认的抢占延迟时间为6秒（60台，100ms）。您也可以在全局设置100ms到25.5s。抢占模式只有在VRRP-A在多个设备上配置好的时候才可以被触发并使用，故障切换只会被优先级改变触发，尽管优先级改变，当VRRP-A配置在两台设备上，一台为主一台为备，改变优先级会导致1~3秒内发生故障切换。

在部署中很多会话是同步的，抢占时延设为较长的值可以确保会话同步在故障切换前完成。

1.4.7主设备选举举例

一个设备可以在VRRP-A配置中的任意时间和任意分区是都主的设备。一个VRID中的主设备是根据优先级进行选举的，在一个VRID中拥有最高VRRP-A优先级的设备被选举为主设备，每个VRID都有他自己的优先级值，这个值初始为150，可以在1~255之间设置。图5示例：

图五：主设备选举

在这个例子中，在设备一中的共享分区CorpB中VRID0的优先级被设置为255，并应用于设备二中的CorpA和CorpC。每个设备的每个VRID的主/备状态是基于这些优先级设置。该图中的“A”表示为主。

如果不止一个设备有最高优先级，那么设备ID最低的那个变为主设备。例如：如果设备优先级如左边的配置默认在所有设备上，设备一成为VRID中的主设备，VRRP-A选举次优先级的设备作为备份。在VRRP-A中有多个备份设备，最低device ID的变为备份设备，如图六所示：

图六：备份设备选举

为设备一中VRID0的CorpB分配的优先级值为255，其他的设备上都是默认的值。既然设备二在剩下的设备中有最低的设备ID，设备二成为备用设备（插图中S表示）。剩下的作为他的备份（插图中B表示）。

如果会话同步启用，会话从设备一复制到设备二。如果发生故障切换，设备二变为主而设备一变为备，会话不会同步到备份设备。

如果standby 设备不可用或者他的优先级降低到低于其他的备份设备，其他的备份设备变为standby 设备，如图7所示：

图7：新的standby 设备选举

注意事项：如果VRRP-A中有三个设备，把主设备变为备份设备而不是standby 设备会导致大量的会话丢失，因为会话是只会从主设备同步到standby 设备的。

为了防止这种情况出现，先将备份设备改变优先级保证他变为standby 设备，然后进行会话同步。1.5VRRP-A故障切换

由主到备的故障切换可以由以下任一事件触发：

●备的ACOS设备不再接收到主设备发出的hello信息。

●主设备的VRRP-A优先级被减少至小于standby 设备的优先级，优先级减小可以是被追踪到网关、

VLAN或者数据口down掉的时候，或者VIP发生健康故障的时候。

●抢占模式启用下，主设备VRRP-A优先级值被管理员手动降低。

●管理员将force-self-standby应用于主设备。

1.5.1基于策略故障切换

VRRP-A提供可配置的模板提供了灵活的事件追踪和基于策略的故障切换支持。此功能允许基于策略的故障切换，即使VRRP-A抢占被禁止，ACOS设备通常会保持在Active状态，尽管VRID优先级的改变。

它允许基于追踪事件的一次故障切换发生。

1.5.2动态优先级降低

如果配置得当，故障切换在即使主设备仍在工作时仍然可以发生，对于每一个VRID，初始的情况下VRID被配置为静态的优先级，您也可以配置基于网络和系统情况进行调整的动态减少。例如：您可以配置以太网端口的链路追踪。如果链路出现故障，设备上VRID的优先级降低，如图8所示：

图8：动态优先级切换

在此例子中，追踪6口启用，配置为——如果6口down掉那么优先级配置为155,。在VRID0中CorpB部分设备一有较高的优先级，但是，如果6口down掉，优先级动态降低比设备二更低，设备二变为主设备。

默认情况下，动态优先级降低并未被配置，该选项可以在不同分区进行配置。

1.5.3Force-self-standby

Force-self-standby提供一种不许优先级和抢占模式的强行故障切换的方法。

这个选项可以由共享分区管理员或者私人分区管理员进行配置，如果在共享分区进行配置，则应用于设备上所有VRID，如果是私人管理员，则只应用于那一部分的分区。

这个命令持续生效直到其他故障切换触发或者设备重新载入或者重启，这个命令没有添加到配置而且设备发生重新载入或者重启时不会持续该命令。

1.6VRRP-A浮动IP

VRRP-A支持使用浮动IP，浮动IP可以驻留在组内任何设备，但始终驻留在主设备上。因为无论组内单个设备什么状态，浮动IP总是可达的，浮动IP提供了网络的稳定性。

在一个典型的VRRP-A部署中，浮动地址被配置为每一个其他与ACOS设备互联的设备的下一跳接口。图9示出了一个简单的例子。

图9：浮动IP地址

在这个示例中，设备所配置的网关地址为10.8.8.6，此地址配置为ACOS设备上的浮动地址，并始终驻留在VRRP-A的主设备上。

由于由于地址被配置为ACOS设备上的浮动IP地址，所述地址保持可访问的客户端，即使发生故障转移。例如，如果VRRP-A从1到设备2的设备故障转移，那么浮动IP地址也移动到设备2。

注意事项：浮动IP不能与设备已有IP相同，例如：设备接口地址不能用作浮动地址。

1.6.1故障切换后浮动地址MAC广播

故障切换之后，浮动地址从一台ACOS设备迁移到另一个ACOS设备，浮动地址关联的MAC地址发生变化。

为了帮助其他设备关联故障切换后浮动地址的MAC改变，新的主设备发送IPV4 ARP信息（用于IPV4网络）或者ICMPV6信息（用于IPV6网络）。在网络中的其他设备会学习到新的ARP信息。

1.7VRRP-A配置同步

VRRP-A支持一下模式的配置同步

●自动模式：使用aVCS自动同步，详情请见“自动配置同步”在aVCS部分。

●手动模式：见“配置抢占时延”部分。

1.8VRRP-A会话同步

VRRP-A主设备和standby 设备对于给定的VRID。如果会话同步（也称为连接镜像）被使能，主设备会

备份活动会话到standby 设备上。

会话同步主要适用于4层会话。会话同步不适用于DNS会话，因为这些会话通常非常短暂，同步也并无必要，同样的情况，会话同步不适用于已做NAT的ICMP会话和静态NAT会话。因为故障切换后新的主设备会建立新的工作流。

会话同步默认关闭，可在独立的端口上开启。

1.9VRRP-A接口

VRRP-A通过该进口发送hello消息并进行会话同步。

每个ACOS设备提供VRRP-A的VRID必须提供至少一个以太网接口可以到达其他ACOS设备。如果ACOS设备无法从接口接收到hello消息，则这台设备变为主的状态，在这种情况下，如果一个相同的VRID下有多个主设备，则这种方式是无效的，某一个主设备无法连接到其他设备时，其他主设备仍可以连接到其他设备（standby 设备）。

默认情况下，没有VRRP-A接口是明确配置的。在这种情况下，VRRP-A采用所有UP的以太网接口来发送和听取hello消息。对于属于多个VLAN的接口，该ACOS设备使用最低的接口所属的VLAN ID。

如果一个数据接口同时有IPv4和IPv6地址，就用基本的IPv4地址。

具有写权限的共享分区管理员可以明确指定设备接口为VRRP-A接口，在这种情况下，所有共享分区及L3V分区都会使用该接口作为VRRP-A接口。

1.9.1VRRP-A接口配置明细

你可以选择一个接口明确指定为VRRP-A接口，在这种情况下，ACOS设备只使用已配置的VRRP-A接口发送接收hello消息。

●对于独立的L3V分区，接口要求不同，这取决于VRRP-A接口是否明确配置了。

●如果没有接口被明确配置为VRRP-A接口（默认情况），每个L3V分区至少有一个接口可达其他分

区。

●如果共享分区中至少一个接口配置为VRRP-A接口，该接口用于所有共享分区的hello消息以及L3V

分区的所有VRID。

1.9.2VRRP-A接口类型与接口状态

VRRP-A接口状态变化可能触发故障切换，默认情况下，VRRP-A接口可能是UP的也可能是DOWN 的，您可以致命接口为以下任一种状态。

服务器模式：可以通过此接口到达真实的服务器。

路由模式：上游路由器（和最终用户）可以通过接口到达。

混合模式：服务器和上游路由器都可通过接口到达。

注意事项：在这个版本中，接口状态仅仅为信息口，这个设置并不影响VRRP-A工作及接口追踪。

1.9.3使用GUI配置VRRP-A接口

使用GUI配置VRRP-A接口：

1、鼠标悬停在菜单按钮上，选择VRRP-A。

2、选择VRRP-A标签，在下拉菜单中选择你想使能的接口类型。

3、对你想使能VRRP-A功能的接口，编辑动作柱。

4、在更新VRRP-A接口页，选择选择要配置的VRRP-A接口的选项。您可以启用或禁用VRRP-A，或设置接口类型和状态。

1.9.4优选接收同步会话接口

默认情况下，备份设备上VRRP-A自动选择上接收同步会话以太网接口。该ACOS设备提供了一个选项，使您可以指定以太网接口上，优选接收同步会话。

使用GUI配置会话同步接口的VRRP-A

1、将光标悬停在系统菜单栏，然后选择VRRP-A。

2、单击设置选项卡，并选择全局，这是默认的活动页面。

3、接近页面的底部，展开会话同步端口类别，以显示配置区的功能。

4、从接口类型下拉列表选择“以太网”。

5、在指定接口字段接口数量。

6、如果该接口属于多个VLAN，指定VLAN ID在VLAN部分。

7、单击添加。

8、在另外接口重复以上操作。

9、单击确定。

2部署VRRP-A

这一部分提供VRRP-A部署的案例。

这一部分包括：

●基本VRRP-部署

●force-self-standby重新载入或者重新启动后保持

●查看VRRP-A信息

●配置抢占时延

●VRRP-A配置举例

●配置一个主和从VRID

2.1基础VRRP-A配置

基本的VRRP-A配置只需要在每个ACOS设备上操作以下步骤：

1、标明VRRP-A device ID和 set ID，然后开启VRRP-A：

ACOS(config)#vrrp-a common

ACOS(config-common)#device-id 5

ACOS(config-common)#set-id 10

ACOS(config-common)#enable

ACOS-Active(config-common)#exit

ACOS-Active(config)#

您可以指定从1-8的device ID，以及从1-15的set 标识。注意，提示被更新以反映是否设备是主设备或standby 设备。

注意事项：如果配置了aVCS，使用与aVCS同样的device ID。

2、根据需要，设置浮动IP地址以及独立VRID。

以下例子配置为VRID13一个浮动IP（192.168.9.9）

ACOS-Active(config)#vrrp-a vrid 13

ACOS-Active(config-vrid:13)#floating-ip 192.168.9.9

2.2force-self-standby重新载入或者重新启动保持

如果通过CLI被选择force-self-standby选项，该功能将允许单个分区，多个分区，或

设备保持在self-standby状态，即使该设备或分区经过重载或设备重新启动。

想要是VRID2处于self-standby状态，可以使用以下命令：

ACOS(config)#vrrp-a force-self-standby vrid 2

想要使VRID2在重新载入或重启后仍然处于self-standby状态，可以使用以下命令：

ACOS(config)#vrrp-a force-self-standby-persistent vrid 2

如果发出 vrrp-a force-self-standby命令，分区或设备将不处于self-standby状态直至设备重启或重新载入，你必须配置self-standby通过vrrp-a force-self-standby-persistent来让你的设备或分区在重新载入或者重启后保持self-standby状态。

如果想要所有VRIDs即使重新启动或加载仍然保持在self-standby状态，在分区“A部分”执行以下命令：

ACOS[partA](config)#vrrp-a force-self-standby

2.3查看VRRP-A信息

查看VRRP-A配置信息及细节，使用“VRRP-A show 命令”查看

2.4配置抢占时延

使用GUI配置抢占时延

1、将鼠标悬停在系统菜单栏，然后选择VRRP-A。

2、验证设置选项卡下的路径是system>> VRRP-A>>global，如果不是，单击设置选项卡，然后选择从下拉列表中选择全局。

3、从1-255的值中选择一个编辑在抢占延迟字段的值。默认VRRP-A抢占延迟时间是6秒（60个单位的100毫秒）。您可以全局设置延迟从100毫秒（1单位为100 ms）的值至25.5秒（255台为100毫秒）。

4.单击确定。

2.5VRRP-A配置示例

以下部分为VRRP-A配置示例，第一个示例显示了使用所需的最少命令一个非常基本的部署。第二个例子包括优先配置更改和跟踪。

2.5.1基本部署

以下命令配置了一组4个设备的VRRP-A：

ACOS-1命令：

ACOS-1(config)#vrrp-a common

ACOS-1(config-common)#device-id 1

ACOS-1(config-common)#set-id 1

ACOS-1(config-common)#enable

ACOS-2命令：

ACOS-2(config)#vrrp-a common

ACOS-2(config-common)#vrrp-a device-id 2

ACOS-2(config-common)#vrrp-a set-id 2

ACOS-2(config-common)#enable

ACOS-3命令：

ACOS-3(config)#vrrp-a common

ACOS-3(config-common)#device-id 3

ACOS-3(config-common)#set-id 3

ACOS-3(config-common)#enable

ACOS-4命令：

ACOS-4(config)#vrrp-a common

ACOS-4(config-common)#device-id 4

ACOS-4(config-common)#set-id 4

ACOS-4(config-common)#enable

2.5.2自定义优先级部署设置

下面的命令在ACOS2设备配置VRRP-A，如图5所示的优先级设置。

●在设备ACOS-1，优先级值被设定为255对共享分区的VRID0和分区CorpB的VRID0的优先级值

被撇设置为它的默认值（150），用于CORPA和CorpC;优先级不需要设置，因为这是缺省值。

●在设备ACOS-2中，优先级值被设定为255对分区CORPA和CorpC默认VRIDs。优先值留设置为

缺省（150）为共享分区和CorpB;优先级不需要设置，因为这是缺省值。

这些命令还配置为每个VRID浮动IP地址。图5不包括浮动地址的配置。

ACOS-1命令：

ACOS-1(config)#vrrp-a common

ACOS-1(config-common)#device-id 1

ACOS-1(config-common)#set-id 1

ACOS-1(config-common)#enable

ACOS-1(config-common)#exit

ACOS-1(config)#vrrp-a vrid 0

ACOS-1(config-vrid:0)#floating-ip 10.10.10.2

ACOS-1(config-vrid:0)#blade-parameters

ACOS-1(config-vrid:0-blade-parameters)#priority 255

ACOS-1(config-vrid:0-blade-parameters)#exit

ACOS-1(config-vrid:0)#exit

ACOS-1(config)#

ACOS-1(config)#active-partition CorpB

Current active partition: CorpB

ACOS-1[CorpB](config)#vrrp-a vrid 0

ACOS-1[CorpB](config-vrid:0)#floating-ip 30.30.30.2

ACOS-1[CorpB](config-vrid:0)#blade-parameters

ACOS-1[CorpB](config-vrid:0-blade-parameters)#priority 255

ACOS-1[CorpB](config-vrid:0-blade-parameters)#exit

ACOS-1[CorpB](config-vrid:0)#exit

ACOS-1[CorpB](config)#

ACOS-2命令：

ACOS-2(config)#vrrp-a common

ACOS-2(config-common)#device-id 2

ACOS-2(config-common)#set-id 2

ACOS-2(config-common)#enable

ACOS-2(config-common)#exit

ACOS-2#active-partition CorpA

Current active partition: CorpA

ACOS-2[CorpA]#config

ACOS-2[CorpA](config)#vrrp-a vrid 0

ACOS-2[CorpA](config-vrid:0)#floating-ip 20.20.20.2

ACOS-2[CorpA](config-vrid:0)#blade-parameters

ACOS-2[CorpA](config-vrid:0-blade-parameters)#priority 255

ACOS-2[CorpA](config-vrid:0-blade-parameters)#exit

ACOS-2[CorpA](config-vrid:0)#exit

ACOS-2[CorpA](config)#

ACOS-2[CorpA](config)#active-partition CorpC

Currently active partition: CorpC

ACOS-2[CorpC](config)#vrrp-a vrid 0

ACOS-2[CorpC](config-vrid:0)#floating-ip 40.40.40.2

ACOS-2[CorpC](config-vrid:0)#blade-parameters

ACOS-2[CorpC](config-vrid:0-blade-parameters)#priority 255

ACOS-2[CorpC](config-vrid:0-blade-parameters)#exit

ACOS-2[CorpC](config-vrid:0)#exit

ACOS-2[CorpC](config)#

2.5.3配置追踪选项

以下这些命令配置VRRP-A的追踪选项，为简化起见，只配置了一台设备。

以太网口追踪：

以下命令配置以太网端口1的跟踪，如果端口的链路出现故障，从VRID的优先级值扣除100。

ACOS(config)#vrrp-a vrid 1

ACOS(config-vrid:1)#blade-parameters

ACOS(config-vrid:1-blade-parameters)#tracking-options

ACOS(config-vrid:1-blade-parameters-track...)#interface ethernet 1 priority-cost 100 Trunk追踪：

下面的命令配置ACOS设备跟踪Trunk（Trunk内，但不是端口）的状态。如果Trunk DOWN了该VRRPA协议将减少100设备的优先级。

ACOS(config)#vrrp-a vrid 1

ACOS(config-vrid:1)#blade-parameters

ACOS(config-vrid:1-blade-parameters)#tracking-options

ACOS(config-vrid:1-blade-parameters-track...)#trunk 1 priority-cost 100

下面的命令配置ACOS设备来跟踪一条Trunk的状态，以及Trunk内端口的状态。如果Trunk DOWN 掉，相关的VRID的优先级减少150，如果Trunk内的一个端口出现故障，关联VRID的优先级减少40。

VLAN追踪

以下命令配置VLAN69的跟踪，如果VLAN是无消息了超过30秒，VRID的优先级将减去50。

ACOS(config)#vrrp-a vrid 1

ACOS(config-vrid:1)#blade-parameters

ACOS(config-vrid:1-blade-parameters)#tracking-options

ACOS(config-vrid:1-blade-parameters-track...)#vlan 69 timeout 30 priority-cost 50

当前的版本提供了增强VLAN的追踪能力。

网关追踪

下面的命令配置跟踪网关10.10.10.1的。如果网关停止响应ping，从VRID的优先级值减去100。ACOS(config)#health monitor gatewayhm1

ACOS(config-health:monitor)#method icmp

ACOS(config-health:monitor)#exit

ACOS(config)#slb server gateway1 10.10.10.1

ACOS(config-real server)#health-check gatewayhm1

ACOS(config-real server)#exit

ACOS(config)#vrrp-a vrid 0

ACOS(config-vrid:0)#blade-parameters

ACOS(config-vrid:0-blade-parameters)#tracking-options

ACOS(config-vrid:0-blade-p[arameters-track...)#gateway 10.10.10.1 priority-cost 100

路由追踪

以下命令配置的路由跟踪到目标网络3000::/64。如果IPv6路由表不包含到目的地的任何路径，从VRID 优先减去105。

ACOS(config)#vrrp-a vrid 0

ACOS(config-vrid:0)#blade-parameters

ACOS(config-vrid:0-blade-parameters)#tracking-options

ACOS(config-vrid:0-blade-parameters-track...)#route 3000::/64 priority-cost 105

下面的命令配置的路由跟踪到目标网络5000::/64。如果IPv6路由表不包含到目的地的任何路径，从VRID优先减去80。

ACOS(config)#vrrp-a vrid 1

ACOS(config-vrid:1)#blade-parameters

ACOS(config-vrid:1-blade-parameters)#tracking-options

ACOS(config-vrid:1-blade-parameters-track...)#route 5000::/64 priority-cost 80

抢占时延

下面的命令配置的200毫秒的期望抢占延迟值：

ACOS(config)#vrrp-a common

ACOS(config-common)#preemption-delay 200

增强型VLANVRRP-A故障切换追踪

VRRP-故障转移跟踪功能支持VLAN的数量增加。权重（使用故障切换策略分配模板，有关详细信息，请参阅“备份，基于策略的故障切换模板）或优先分配给跟踪的VLAN上事件将被用于计算，这将影响VRRP-故障转移的决策。在以前的版本中，只有跟踪5个分区VLAN是可能的。目前，可以对64个L3V 分区进行VLAN跟踪。

如果VRRP-A停止在VLAN的流量检测，VRRP-A降低VRID的优先级。优先级值中减去可分别指定为每个VLAN。

配置VLAN追踪使用以下命令：

vlan vlan-id timeout timeout-value priority-cost value

ACOS允许使用两种方式追踪VRRP-A VLAN：

●使用优先跟踪选项，该选项跟踪通过降低VRID的优先级值进行故障切换。

●使用故障切换策略模板，故障切换策略模板通过降低VRID的权重值进行故障切换。

通过这三种方式，你可以追踪最多64个VLAN：

●配置所有64个VLAN可以使用跟踪选项进行跟踪。

●配置所有64个VLAN，可以使用单一的故障切换策略模板或分割在多个模板进行跟踪。

●配置上面提到的两个选项的组合。这是配置32 个VLAN使用跟踪选项和配置，其余32个VLAN的

使用故障切换策略模板。

注意事项：跟踪选项和故障切换策略模板可以跟踪相同的VLAN。例如，配置使用跟踪选项64个VLAN。您还可以配置跟踪使用故障转移策略模板相同的64个VLAN。从本质上讲，你还是只跟踪64个VLAN。

VLAN追踪配置示例

在启用VRRP-A上的设备，设置VRRP-A VRID，然后设置VLAN跟踪，选择64个VLAN根据它们的优

Cisco ASA 5500防火墙个人基本配置手册

Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供

四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

cisco防火墙配置的基本配置

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

思科防火墙设置

增加一台服务器具体要求。新增一台服务器地址：10.165.127.15/255.255.255.128。需要nat 转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。 在对外pix525上面增加如下：access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器80端口 static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223 可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？ 具体配置如下： pix-525> enable Password: ***** pix-525# sh run : Saved : PIX Version 6.3(5) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password FVHQD7n.FuCW78fS level 7 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname wgqpix-525 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 16.152.91.221 eq www access-list acl_out permit icmp any any access-list acl_out permit tcp any host 16.152.91.220 eq https access-list acl_out permit tcp any host 16.152.91.223 eq www

ASA防火墙配置命令-王军

ASA防火墙配置命令（v1.0） 版本说明

目录 1. 常用技巧 (3) 2. 故障倒换 (3) 3. 配置telnet、ssh及http管理 (5) 4. vpn常用管理命令 (5) 5. 配置访问权限 (6) 6. 配置sitetosite之VPN (6) 7. webvpn配置（ssl vpn） (7) 8. 远程拨入VPN (8) 9. 日志服务器配置 (10) 10. Snmp网管配置 (11) 11. ACS配置 (11) 12. AAA配置 (11) 13. 升级IOS (12) 14. 疑难杂症 (12)

1. 常用技巧 Sh ru ntp查看与ntp有关的 Sh ru crypto 查看与vpn有关的 Sh ru | inc crypto 只是关健字过滤而已 2. 故障倒换 failover failover lan unit primary failover lan interface testint Ethernet0/3 failover link testint Ethernet0/3 failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001 failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001 failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover interface ip testint 10.3.3.1 255.255.255.0 standby 10.3.3.2 注：最好配置虚拟MAC地址 sh failover显示配置信息 write standby写入到备用的防火墙中

ASA5510防火墙配置手册

ASA5510防火墙配置手册 1. 设置主机名： #hostname szhndasa 2. 设置时区： szhndasa#clocktimezone EST 7 3. 设置时钟： Szhndasa#clock set 15:45:30 28 FEB 2008 4. 配置内接口 IP Szhndasa#int Ethernet 0/0 Szhndasa#nameif inside Szhndasa#security-level 100 Szhndasa#ip address 192.168.55.254 255.255.255.0 5 配置外部接口 IP Szhndasa#int Ethernet 0/1 Szhndasa#nameif outside Szhndasa#security-level 0 Szhndasa#ip address 210.X.X.X 255.255.255.248 6.配置用户名和密码 Szhndasa#username admin password ********* encrypted privilege 15 注：15 表示有最高权限 7.配置 HTTP 和 TELNET Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside 8.配置 site to site vpn crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs crypto map outside_map 20 set peer 210.75.1.X

ASA配置命令

要想配置思科的防火墙得先了解这些命令： 常用命令有：nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address [netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmark global_mask]：表示全局ip地址的网络掩码。 nat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中： (if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global命令定义。 local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]：表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法： route (if_name) 0 0 gateway_ip [metric] 其中： (if_name)：表示接口名称。 0 0 ：表示所有主机 Gateway_ip：表示网关路由器的ip地址或下一跳。 [metric]：路由花费。缺省值是1。 static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外，外边的顺序是先外后内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址 ************************************************************************** asa#conf t asa(config)# hostname asa //设置主机名

ciscoASA防火墙配置 - 基本配置过程

Cisco ASA 防火墙配置手册 基本配置过程 ----------Conan Zhongjm

拓扑图 1、配置主机名 hostname asa5520 2、配置密码 Enable password asa5520 Passwd cisco 3、配置接口 Conf t Interface ethernet 0/0 Nameif outside Security-level 0 Ip address 210.10.10.2 255.255.255.0 No shutdown Exit Interface ethernet 0/1 Nameif inside Security-level 100 Ip address 192.168.201.1 255.255.255.0 No shutdown Exit Interface ethernet 0/2 Nameif dmz Security-level 50 Ip address 192.168.202.1 255.255.255.0 No shutdown Exit 4、配置路由

Route outside 0.0.0.0 0.0.0.0 210.10.10.1 End Show route 5、配置网络地址转换 Nat-controal Nat (inside) 1 0 0 Global (outside) 1 interface Global (dmz) 1 192.168.202.100-192.168.202.110 ///////////////////////////////////////////////////////////////////// 配置完以上就可以实现基本的防火墙上网功能 ///////////////////////////////////////////////////////////////////// 6、配置远程登录 （1）telnet 登录 Conf t telnet 192.168.201.0 255.255.255.0 inside telnet timeout 15 （2）ssh登录 Crypto key generate rsa modulus 1024 Ssh 192.168.201.0 255.255.255.0 inside Ssh 0 0 outside Ssh timeout 30 Ssh version 2 （3）asdm登录 http server enable 8000 http 192.168.201.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username conan password 123456789 privilege 15 7、配置端口映射 （1）创建映射 Static (dmz,outside) 210.10.10.2 192.168.202.2 （2）因为防火墙默认把禁止外网访问DMZ区，所以要创建访问控制列表Access-list out_to_dmz permit tcp any host 210.10.10.2 eq 80 Access-group out_to_dmz in interface outside

Cisco路由器防火墙配置命令及实例

clear access-list counters 清除访问列表规则的统计信息。 clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。 【举例】 例1：清除当前所使用的序号为100的规则的统计信息。 Quidway#clear access-list counters 100 例2：清除当前所使用的所有规则的统计信息。 Quidway#clear access-list counters 【相关命令】 access-list 三、firewall 启用或禁止防火墙。 firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。 disable 表示禁止防火墙。

【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 【相关命令】 access-list，ip access-group firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。 firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。 deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下，报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】

ASA_5505入门配置手册

1. 初始配置 ciscoasa> enable 从进入用户模式进入特权模式 ciscoasa# configure terminal 从特权模式进入全局配置模式 ciscoasa(config)# hostname AYKJ-FW 更改防火墙名称 AYKJ-FW(config)# passwd aykj 配置远程登录密码 AYKJ-FW(config)# enable password aykj 配置enable密码 2. 端口配置 AYKJ-FW(config)# interface Vlan2 创建SVI口，ASA5505必须通过SVI口配置地址AYKJ-FW(config)# nameif outside 定义为outside口，即连接外网接口 AYKJ-FW(config)# security-level 0 定义安全级别，范围0~100，其中inside、outside 口安全级别为系统自动定义和生成 AYKJ-FW(config)# ip address 221.226.186.58 255.255.255.252 配置运营商分配公网地址AYKJ-FW(config)# interface Vlan3 AYKJ-FW(config)# nameif inside 定义为inside口，即连接内网接口 AYKJ-FW(config)# security-level 100 inside口默认安全级别100 AYKJ-FW(config)# ip address 10.0.0.1 255.255.255.0 配置内网口地址 3. 管理配置 AYKJ-FW(config)# telnet 0.0.0.0 0.0.0.0 inside 允许内网所有地址通过telnet登录防火墙AYKJ-FW(config)# ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址通过ssh登录防火墙AYKJ-FW(config)# ssh version 1 使用ssh版本1 AYKJ-FW(config)# http server enable 开启web页面，即开启asdm，与传统的如ASA5520等有专门管理口的防火墙不同，ASA5505只要启用服务，并应用到端口，那么只要网络通畅就可以通过asdm管理，更加灵活 AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 inside AYKJ-FW(config)# http 0.0.0.0 0.0.0.0 outside 这两条命令意味着所有只要能够访问防火墙的地址均可以通过asdm管理防火墙 4. 路由配置 AYKJ-FW(config)# route outside 0.0.0.0 0.0.0.0 221.226.186.57 配置上网默认路由，下一条为运营商分配的网关 AYKJ-FW(config)# route inside [内网网段] [掩码] [防火墙内网口] 配置内网路由，由于本次内网与防火墙在一个地址段，所以不需要 5. NAT配置

cisco防火墙日常维护

一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “>”用户模式 firewall>enable由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “（config）#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、基本配置介绍 ○1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall 设备名称 firewall（config）#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置 firewall（config）#ip address inside 172.16.1.1 255.255.255.0 firewall（config）# interface ethernet0 100full 激活外端口 firewall（config）# interface gb-ethernet0 1000auto 激活内端口 ○2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。firewall（config）#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet 到防火墙 配置从外网远程登陆到防火墙 Firewall（config）#domain-name https://www.sodocs.net/doc/ed8700238.html, firewall（config）# ca generate rsa key 800 firewall（config）#ca save all firewall（config）#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如： firewall（config）#ssh 218.240.6.81 255.255.255.255 outside firewall（config）#enable password cisco 由用户模式进入特权模式的口令 firewall（config）#passrd cisco ssh远程登陆时用的口令 firewall（config）#username Cisco password Cisco Web登陆时用到的用户名 firewall（config）#http enable 打开http允许内网10网断通过http访问防火墙firewall（config）#http 192.168.10.0 255.255.255.0 inside firewall（config）#pdm enable firewall（config）#pdm location 192.168.10.0 255.255.255.0 inside web登陆方式：https://172.16.1.1 ○3、保证防火墙能上网还要有以下的配置 firewall（config）#nat （inside）1 0 0 对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发

CiscoASA防火墙nat配置示例

ASA的NAT配置 命令解释 版本前默认为nat-control,并且不可以更改 版本后默认为no nat-control。可以类似路由器一样，直接走路由；如果启用nat-control，那就与版本前同。 2.配置动态nat 把内部网段：/24 转换成为一个外部的地址池 - NAT配置命令 ASA(config)# nat (inside) 1 (定义源网段) ASA(config)# global (outside) 1 - （定义地址池） 注意：id必须匹配，并且大于1，这里先使用1 检测命令： ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置PAT 把内部网段：/24 转换成为一个外部的一个地址： NAT配置命令 ASA(config)# nat (inside) 2 (定义源网段) ASA(config)# global (outside) 2 （定义地址） ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址） 注意：id必须匹配，并且大于2，这里先使用2 4.配置static NAT 把内部网段：/24 转换成为一个外部的一个地址： NAT配置命令 ASA(config)# static (inside,outside) 命令格式是内外对应的，红色的接口和红色的地址对应。 实际工作中的应用： static主要是为内部服务器提供服务，如：web、ftp、telnet、mail等等。 access-list WEB permint tcp any host eq 80 access-list WEB in interface outside 应用ACL ASA(config)# static (inside,outside) tcp 80 80 ASA(config)# static (inside,outside) tcp interface 80 80 5.防止DOS攻击 防止外部对/24 的攻击 ASA(config)# static (inside,outside) tcp 100 1000 udp 1000 tcp 100 1000:表示正常tcp连接最大数量为100，半开连接最大的数量为1000。 udp 1000：表示正常udp连接最大的数量为1000，具体值设置为多少需要按工作中而定。 配置

asa防火墙命令详解

常用命令有：nameif、interface、ip address、nat、global、route、static 等。 global 指定公网地址范围：定义地址池。 Global命令的配置语法： global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmark global_mask]：表示全局ip地址的网络掩码。 nat 地址转换命令，将内网的私有ip转换为外网公网ip。 nat命令配置语法：nat (if_name) nat_id local_ip [netmark] 其中： (if_name)：表示接口名称，一般为inside. nat_id：表示地址池，由global命令定义。 local_ip：表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]：表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法： route (if_name) 0 0 gateway_ip [metric] 其中： (if_name)：表示接口名称。 0 0 ：表示所有主机 Gateway_ip：表示网关路由器的ip地址或下一跳。 [metric]：路由花费。缺省值是1。 static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address 其中： internal_if_name表示内部网络接口，安全级别较高，如inside。 external_if_name表示外部网络接口，安全级别较低，如outside。 outside_ip_address表示外部网络的公有ip地址。 inside_ ip_address表示内部网络的本地ip地址。 (括号内序顺是先内后外，外边的顺序是先外后内) 例如： asa(config)#static (inside，outside) 133.0.0.1 192.168.0.8 表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址******************************************************************** ******

ciscoasa防火墙命令

ciscoasa> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC show Show running system information traceroute Trace route to destination ciscoasa(config)# ?

aaa Enable, disable, or view user authentication, authorization and accounting aaa-server Configure a AAA server group or a AAA server access-group Bind an access-list to an interface to filter traffic access-list Configure an access control element alias Administer overlapping addresses with dual NAT arp Change or view ARP table, set ARP timeout value, view statistics asdm Configure Device Manager auth-prompt Customize authentication challenge, reject or acceptance prompt auto-update Configure Auto Update