CiscoASAFailover防火墙冗余

ASA Active/Acitve FO注：以下理论部分摘自百度文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。

在每个物理设备上配置两个Failover组（failover group），且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。

带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：●设备状态（active or standby）；●电源状态（只用于基于线缆的failover；）●Hello messages （keep-alives）；●Network link 状态；●MAC地址交换；●配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：●NAT 转换表；●TCP连接状态；●UDP连接状态；●ARP表●2层转发表（运行在透明模式的时候）●HTTP连接状态信息（如果启用了HTTP复制）●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备：●HTTP连接状态信息（除非启用了HTTP复制）●用户认证表（uauth）●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

ASA Active/Acitve FO注：以下理论部分摘自百度文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。

在每个物理设备上配置两个Failover组（failover group），且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。

带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：●设备状态（active or standby）；●电源状态（只用于基于线缆的failover；）●Hello messages （keep-alives）；●Network link 状态；●MAC地址交换；●配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：●NAT 转换表；●TCP连接状态；●UDP连接状态；●ARP表●2层转发表（运行在透明模式的时候）●HTTP连接状态信息（如果启用了HTTP复制）●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备：●HTTP连接状态信息（除非启用了HTTP复制）●用户认证表（uauth）●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

CISCO PIX/ASA Failover 技术是一项故障转移配置的技术，需要两台完全一样的设备，通过一个连接，连接到对方（这个连接也叫心跳线）。

该技术用到的两台设备分为：主用和备用，备用处于待机状态。

当主用设备故障后，备用设备可启用，并设置为主用，运行自主用设备复制过来的配置（配置是跟随主用设备移动的），从而解决单点故障。

本次配置主用和备用之间采用两根心跳线，一根用于数据同步，一根用于状态同步。

配置之前请将用做心跳线的端口激活。

primary的配置(主用)：asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit primary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址（用于数据同步）；asa1(config) # failover link STA e3//指定state接口的为e3，并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP（用于状态同步）；asa1(config)# failover lan key ccxx //配置Failover key （用于对通讯加密，可配置也可不配）asa1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3description LAN Failover Interfacesecondary的配置（备用）：asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit secondary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址（用于数据同步）；asa1(config) # failover link STA e3//指定state接口的为e3，并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP（用于状态同步）；asa1(config)# failover lan key ccxx //配置Failover key （用于对通讯加密，可配置也可不配）asa1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；查看failover命令如下：show run | include faiover注：配置成功后将看到六条命令行。

ASA failover (防火墙的故障倒换) 实验拓扑图：实验目的：以前我们在讲网关备份是讲了一个vrrp，今天这个实验跟那个原理差不多，今天这个就是对防火墙进行备份。

就以上面的拓扑图来说。

防火墙在公司网络的边界上，用来保护公司的网络安全，但是如果有一天防火墙出现什么故障的话，那么该网络就会受到一系列不安全的攻击。

所以我们想想对防火墙也做一个备份的话，对网络的安全实现一个冗余的功能那是不是更好呢？在主防火墙和备份防火墙之间，通常有两根线是相连着的，其中一根是用来监测对防火墙的状态的，叫作failover线，这是一种专业用在防火墙上实现failover的线（不需要配置），可以用以太网线代替，不过需要配置。

另外一种线叫作stateful线，用在防火墙发生故障的那一时间时，将流量的状态发送给备份防火墙，让备份防火墙继续为该流量服务。

在正常的情况下，内部网络的流量全部都是走主防火墙，不会走备份的那个防火墙，并且主防火墙与备份防火墙之间会实现一个实时的策略和状态的更新同步，避免发生故障时，对流量的丢弃。

当故障发生时，备份防火墙会立即切换为主防火墙，继续为网络服务。

首先配置分布层和外网的网络SW1# 在多层交换机上创建几个vlan，并且为vlan配置IP地址以及将接口加入到vlan中。

开启多层交换机的路由功能。

两个交换机的配置差不多一样SW1#vlan daSW1(vlan)#vlan 2VLAN 2 added:Name: VLAN0002SW1(vlan)#vlan 3VLAN 3 added:Name: VLAN0003SW1(vlan)#vlan 100VLAN 100 added:Name: VLAN0100SW1(vlan)#SW1(vlan)#exitAPPLY completed.Exiting....SW1#SW1(config)#inter f1/13SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 2SW1(config-if)#inter f1/10SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 100SW1(config-if)#inter range f1/11 - 12SW1(config-if-range)#sw mo trSW1(config-if-range)#sw tr en doSW1(config-if-range)#exitSW1(config)#SW1(config)#inter vlan 2SW1(config-if)#ip add 192.168.2.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 3SW1(config-if)#ip add 192.168.3.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 100SW1(config-if)#ip add 192.168.100.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#exitSW1(config)# ip routing配置外网：ISP(config)#inter f0/0ISP(config-if)#ip add 202.100.1.1 255.255.255.0ISP(config-if)#no shISP(config-if)#exitISP(config)#line vty 0 4ISP(config-line)#no loginISP(config-line)#exitISP(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.2 写一条默认路由通向内网ISP(config)#PC配置：pc1(config)#inter f0/0pc1(config-if)#ip add 192.168.2.1 255.255.255.0pc1(config-if)#no shpc1(config-if)#exitpc1(config)#no ip routingpc1(config)#ip default-gateway 192.168.2.254 将自己所在的vlan的IP地址作为自己的网关pc1(config)#pc1(config)#exit=================pc2(config)#inter f0/0pc2(config-if)#ip add 192.168.3.1 255.255.255.0pc2(config-if)#no shpc2(config-if)#exitpc2(config)#no ip routingpc2(config)#ip default-gateway 192.168.3.254pc2(config)#======================================================测试一下，分布层网络互通。

思科防火墙Failover故障倒换实验实验要求：1、根据拓扑为防火墙/内网主机/互联网设备配置IP地址2、配置PIX1（防火墙）配置访问Internet基本配置3、配置PIX2上配置状态化Failover-STANDBY4、配置PIX1上状态化Failover-ACTIVE实验步骤1、根据拓扑为防火墙/内网主机/互联网设备配置 IP 地址；R1：ip route 0.0.0.0 0.0.0.0 192.168.1.2542、配置 PIX1 配置访问 INTERNET 基本配置；PX1:interface e1no shutdownnameif outsidesecurity-level 0ip address 100.1.1.254 255.255.255.0interface e0no shutdownnameif insidesecurity-level 100ip address 192.168.1.254 255.255.255.0route outside 0.0.0.0 0.0.0.0 100.1.1.1access-list NAT permit ip 192.168.1.0 255.255.255.0 any nat (inside) 1 access-list NATglobal (outside) 1 interfacefixup protocol icmp3、配置 PIX2 上配置状态化 Failover-STANDBY；interface e2no shutdowninterface e3no shutdownfailoverfailover lan enablefailover key ciscofailover lan unit secondaryfailover lan interface Failover e2failover interface ip Failover 10.1.12.1 255.255.255.0 standby 10.1.12.2failover link sta-failover e3failover interface ip sta-failover 10.2.12.1 255.255.255.0 standby 10.2.12.24、配置 PIX1 上状态化 Failover-ACTIVE。

部署CiscoASA防火墙解决方案FIREWALLv1.0考试部署Cisco ASA防火墙解决方案FIREWALL v1.0考试部署Cisco ASA防火墙解决方案 (FIREWALL v1.0)考试是与CCSP、CCNP安全和Cisco ASA 专业技术员认证相关的考试。

该考试主要检验考生在实施和维护基于Cisco ASA的边界解决方案方面所需的知识和技能。

成功通过考试的.考生将能够降低使用Cisco ASA特性的IT基础设施和应用的风险，并为Cisco ASA提供详细的运营支持。

考生可以通过学习“部署Cisco ASA防火墙v1.0”课程来准备该考试。

Exam DescriptionThe 642-618 Deploying Cisco ASA Firewall Solutions (FIREWALL v2.0) exam is associated with the CCNP Security and Cisco Firewall Specialist certifications. This exam tests a candidate's knowledge and skills needed to implement and maintain Cisco ASA-based perimeter solutions. Successful graduates will be able to reduce risk to the IT infrastructure and applications using Cisco ASA features, and provide detailed operations support for the Cisco ASA. Candidates can prepare for this exam by taking the Deploying Cisco ASA Firewall Solutions course.Exam TopicsThe following information provides general guidelines for the content likely to be included on the exam. However, other related topics may also appear on any specific delivery of the exam. In order to better reflect the contents of the exam and for clarity purposes the guidelines below may change at any time without notice.Cisco ASA adaptive security appliance Basic ConfigurationsIdentify the ASA product familyImplement ASA licensingManage the ASA boot processImplement ASA interface settingsImplement ASA management featuresImplement ASA access control featuresImplement Network Address Translation (NAT) on the ASA Implement ASDM public server featureImplement ASA quality of service (QoS) settingsImplement ASA transparent firewallASA Routing FeaturesImplement ASA static routingImplement ASA dynamic routingASA Inspection PolicyImplement ASA inspections featuresASA Advanced Network ProtectionsImplement ASA Botnet traffic filterASA High AvailabilityImplement ASA Interface redundancy and load sharing featuresImplement ASA virtualization featureImplement ASA stateful failover【部署Cisco ASA防火墙解决方案FIREWALL v1.0考试】。

配置PIX Failover简介：本文描述了Pix Failover特性的配置。

Failover的系统需求要配置pix failover需要两台PIX满足如下要求：∙型号一致(PIX 515E不能和PIX 515进行failover)∙软件版本相同∙激活码类型一致(都是DES或3DES)∙闪存大小一致∙内存大小一致Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR 版本。

R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。

注意 Pix501、Pix506/506E均不支持Failover特性。

理解FailoverFailover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。

Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。

而新的备用PIX则将自己的IP和MAC设置为原备份地址。

对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp 表，也不需要等待ARP超时。

一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX 上面。

Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。

在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。

将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。

如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。

ASA防火墙疑难杂症解答ASA防火墙疑难杂症解答1...............................内部网络不能ping通internet2........................内部网络不能使用pptp拨入vpn服务器3....................内部网络不能通过被动Mode访问ftp服务器4.................................内部网络不能进行ipsec NAT5...................................内网不能访问DMZ区服务器6................................内网用户不能ping web服务器1. 内部网络不能ping通internet对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做inspect，对icmp协议进行检查即可2. 内部网络不能使用pptp拨入vpn服务器因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载：modprobe ip_nat_pptp modprobe ip_conntrack_proto_gre如果防火墙是ASA，则需要inspect pptp。

3. 内部网络不能通过被动Mode访问ftp服务器同样需要inspect ftp，有些还需要检查相关参数policy-map type inspect ftp ftpaccessparametersmatch request-command appe cdup help get rnfr rnto put stou sitedele mkd rmd4. 内部网络不能进行ipsec NAT这种情况不多用，如查进行ipsect ：IPSec Pass Through5. 内网不能访问DMZ区服务器增加NAT规则，即DMZ到内网的规则6. 内网用户不能ping web服务器如果内网中有一台web服务器，且已经配置了NAT，使用internet用户可以通过外部IP访问这台web服务器。

飞塔防火墙OSPFoverIPSec及路由及冗余OSPF over IPSec及路由冗余目录1.目的 (3)2.环境介绍 (3)3.IPSec VPN配置 (4)4.OSPF配置 (5)4.1 GateA配置 (5)4.2 GateB配置 (6)4.3 配置完成后各FortiGate路由表 (7)4.4 通过命令查看OSPF状态 (8)5.冗余路由的验证 (8)6.参考 (10)1.目的OSPF使用组播协议路由,由于IPSec VPN不能支持组播和广播,因此不能运行动态路由协议,此时需要使用GRE协议封装OSPF后经过IPSec进行数据交互。

所以常用的多为OSPF over GRE。

Route-based方式的IPSec VPN极大的方便了OSPF over IPSec 的配置,无需再将数据先用GRE封装然后在运行在IPSec链路上。

本文档针对FortiGate的OSPF over IPSec的冗余路由进行说明。

2.环境介绍本文使用2台FortiGate进行说明, GateA与GateB建立2条IPSec VPN,在IPSec VPN链路上运行OSPF协议并同处于Area 0区域,以期达到任意主VPN隧道中断后,备份VPN隧道仍然继续工作,实现OSPF over IPSec及路由冗余的目的,本文使用的系统版本为FortiOS v4.0MR2 Patch8。

Router Port7 IP Port8 IP VPN1 IP VPN2 IP Loopback IPGateA 1.1.1.1 2.1.1.1 5.1.1.1 6.1.1.1 10.1.1.1GateB 1.1.1.2 2.1.1.2 5.1.1.2 6.1.1.2 10.2.2.1 3.IPSec VPN配置配置route-based模式(即接口模式) IPSec VPN的具体方法请参考站到站IPSec VPN设置4.2配置完成后在VPN-IPSec-监视器可以查看VPN状态。

某公司使用一台ASA5520作为内外网安全设备及互联网出口，现网还有一台ASA5520也放置于出口，但两台设备没有形成HA，并没有配置failover。

出于提升网络安全性和冗余的考虑，现对设备进行failover配置。

整个配置过程内容如下：前提条件要实现failover，两台设备需要满足以下的一些条件：1.相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash闪存等2.相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.03.相同的FW模式，必须同为路由模式或者透明模式4.相同的特性集，如支持的加密同为DES或者3DES5.合适的licensing，两台设备的license符合基本要求，能支持相同的failover除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线，可以是交叉网线。

经过比对两台ASA5520的以上相关信息，发现目前两台ASA防火墙的IOS 版本不一致，ASA-A是“asa804-3-k8.bin，Software Version 8.0(4)3”，ASA-B 是“asa821-k8.bin，Software Version 8.2(1)”。

通过比对还发现，两台ASA支持的License features虽并不一致，但事实上，实现failover不需要license features 完全一致，只要关键的几个特性如支持failover类型相同即可。

所以，此两台设备如果要实现failover，则必须首先要做的就是使用ASA-B的升级ASA-A的IOS 至8.2(1)，或者将ASA-B的IOS降低至8.0（4）3版本，不推荐使用降级IOS 的方式，所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程（命令脚本）。

升级IOS方案此以升级ASA-A的IOS到8.2(1)版本来说明。

CISCO防火墙failover全系列2——ASA LAN base A/Sfailover（路由模式）primary的配置：Int e0Ip add 172.16.1.1 255.255.255.0 standby 172.16.1.2Int e1Ip add 192.168.1.1 255.255.255.0 standby 192.168.1.2ExitFailover lan enable//若是PIX，就要配置这一条，启用LAN based failover，ASA不需要这一条Failover lan unit primary//指定这个防火墙是primary防火墙Failover lan interface failover e2//指定failover接口是e2,并命名为failoverFailover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 //指定名字为failover接口的IPFailover link state e3//指定state接口的为e3，并命名为stateFailover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2//指定名字为state的接口IPFailover//启动failoversecondary的配置(只需要配置failover接口，其他都会从primary学习到)failoverfailover lan unit secondaryfailover lan interface failover Ethernet3failover lan enablefailover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2 //配置和active相同！show：Sh failovershow failover stateSh monitor-interfaceSh run failover测试命令：∙强制standby防火墙变为acitve：在standby上输入#failover active或者在active上输入#no failover staive∙关闭failover#no failover∙Failover reset∙Debug fover。

多厂商防火墙系列之六：ASA failover高可用技术技术【A/S】Failover的意思就是故障移除，它非常类似与HSRP与VRRP一样，是一个冗余备份的技术，它当主用down了以后自动切换到备用那边failover分为Aactive/standby和Aactive/Active，还有一种区分就是hardware failover，和stateful failover.1、Aactive/standby就想HSRP一样，主用down了情况下，备用才会转发数据2、Aactive/Active它必须结合之前说的context配合使用，虚拟多个防火墙，就像下面的图，primary虚拟了两个context1和2，secondary也虚拟了两个context12，在这里primary的1为active，secondary的1为stadnby。

primary的2为standby，secondary的2为active，这样无论哪边Dwon了，直接切换到另外一边进行流量的转发，A/A实现了两个防火墙都转发流量，而不是空闲备用。

3、hardware failover，和stateful failover.前者是只备份配置，不做其余的备份，而后者会备份配置的同时，把状态化信息也备份了，比如TCP的会话。

这样当实现切换的时候，而不会断开TCP的连接。

做failover注意的几点是：1、关于两个firewall的硬件和软件型号和版本保持一直，还有授权信息，否则做failover会失败。

、2、PIX支持cable serial与LAN-Based来作为两个firewall的连接3、ASA只支持LAN-Basedcable serial的特点就是：能很好的监控双方的状态，比如对方没有插电源、或者线缆没有插上，也能很快检查到双方的链路是否正常，缺点就是距离短，好像只有1.5米的距离LAN-Based：就是我们常用的双绞线，它就是距离长，但是没有cable serial那么好的功能。

ciscoASA防火墙配置思科cisco依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道cisco ASA防火墙配置吗?下面是店铺整理的一些关于cisco ASA防火墙配置的相关资料，供你参考。

cisco ASA防火墙配置的方法：常用命令有：nameif、interface、ip address、nat、global、route、static等。

global指定公网地址范围：定义地址池。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]其中：(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmark global_mask]：表示全局ip地址的网络掩码。

nat地址转换命令，将内网的私有ip转换为外网公网ip。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]其中：(if_name)：表示接口名称，一般为inside.nat_id：表示地址池，由global命令定义。

local_ip：表示内网的ip地址。

对于0.0.0.0表示内网所有主机。

[netmark]：表示内网ip地址的子网掩码。

routeroute命令定义静态路由。

语法：route (if_name) 0 0 gateway_ip [metric]其中：(if_name)：表示接口名称。

0 0 ：表示所有主机Gateway_ip：表示网关路由器的ip地址或下一跳。

[metric]：路由花费。

缺省值是1。

static配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address其中：internal_if_name表示内部网络接口，安全级别较高，如inside。

双isp接入，防火墙active/active failover加非对称路由问题的解决有一家企业，对外提供服务，客户遍布全国，客户可能使用电信链路，可能使用网通链路，所以这家企业申请了两条链路，一条电信，一条网络，希望客户选择合适的链路来访问服务。

使用了两台cisco防火墙分别连接电信和网通。

后面连接整个内部网络，对外提供服务的服务器也在其中。

原则：1.两条链路能够使用同时使用2.外部用户（不管使用哪条链路），都能正确访问注：大体上是需要从哪条链路进来的数据包，返回的数据包也要从这条链路回去。

在防火墙上，非对称路由很可能会有问题的。

3.如果能做到负载均衡那更加好。

方法考虑：1.active/standby failover两条链路配置在不同的防火墙上面（接口ip地址不一样），而a/s failover要求两台防火墙配置一样，所以这个方案行不通。

其中一台配置配置成active，两条链路同时接在上面，另外一台standby。

这样的配置问题有很多：一台防火墙上面不能同时配置两条默认路由；即使其中一条链路写了明晰路由（如把网通主要的的路由写出来），在一台防火墙上面，也涉及到非对称路由的问题；方案1完全否决2.active/active failover两条链路可以同时使用，而且可以接在不同的防火墙上面。

因为两台防火墙各有两个context（虚拟防火墙），这四台防火墙两两互备，可以实现负载均衡。

而且使用了2对虚拟防火墙，两对虚拟防火墙配置独立，这样就有两套路由表，所以在上面分别写默认路由一点问题都没有，默认路由问题解决。

似乎这个方式很好，但是还有一个问题没有解决，那就是非对称路由的问题。

从虚拟防火墙1进来的数据包，进入到内网，返回的时候，如果经过了虚拟防火墙2，这个时候如果是tcp 数据包，那因为这不是一个syn数据包，那2就可能丢弃掉这个数据包。

在负载均衡上面做的不错，但是非对称路由没有解决，需要再改进，不然还是不能解决问题3.防火墙独立使用加链路负载均衡设备两台防火墙各接一条链路，然后都接到一台链路负载均衡设备上面去。

防火墙 Failover一、failover相关概念：1、failover线：又叫心跳线，是一条故障切换线，参与failover 的防火墙通过这条线决定本身的状态。

Failover 线有2种：专用的cable 线和LAN线2、statful failover线：即状态线，时刻传递状态信息由主到次，该线的带宽必须大于等于用户接口的带宽，状态有3种：专用以太口或共享LAN-base的failover线或共享用户接口(不建议）3、failover 组网拓扑：有2种：基于专用cable和基于LAN二、试验拓扑：三、试验配置：FW5(config# activation-key 0x5236f5a7 0x97def6da 0x732a91f5 0xf5deef57（添加UR许可，有UR许可才支持Failover）1、基于Lan base的A/S模式FW5（活动设备）FW5(config# failover link bluefox e3(指定Failover状态接口）FW5(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6（配置状态接口的IP）FW5(config# interface e3（打开接口）FW5(config-if# no shFW5(config-if# exitFW5(config# failover lan enable （启用lan base）FW5(config# failover lan unit primary （指定该设备为主设备）FW5(config# failover lan interface bluefox e3（指定Failover线（可与状态线共用））FW5(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6（共用时可不配）FW5(config# failoverFW5(config# interface e0FW5(config-if# nameif outsideFW5(config-if# ip add 192.168.7.5 255.255.255.0 standby 192.168.7.6FW5(config-if# no shFW5(config-if# exitFW5(config# interface e1FW5(config-if# nameif insideFW5(config-if# ip add 192.168.5.5 255.255.255.0 standby 192.168.5.6FW5(config-if# no shFW5(config-if# exitFW5(config# interface e2FW5(config-if# nameif dmzFW5(config-if# security-level 50FW5(config-if# ip add 192.168.8.5 255.255.255.0 standby 192.168.8.6 FW5(config-if# no shFW5(config-if# exitFW6（备份设备）FW6(config# interface e3FW6(config-if# no shFW6(config-if# exit（打开状态线）FW6(config# failover lan enable （启用lan base）FW6(config# failover lan unit secondary （指定该设备为辅助设备）FW6(config# failover lan interface bluefox e3（指定Failover线）FW6(config# failover interface ip bluefox 192.168.6.5 255.255.255.0 standby 192.168.6.6FW6(config# failover（启用Failover）测试与分析：FW5FW6FW5由以上各图知FW5为主、FW6为备份设备.在FW6上手动抢占FW6已成为主设备。

CiscoASA防火墙巨有效的排错命令packet-tracerCisco ASA 防火墙巨有效的排错命令packet-tracer大家经常用电脑或者网络设备上的traceroute，跟踪一个包从一个设备到另一个设备中间的路径，其实在PIX上还有一个命令可以跟踪一个数据包从一个接口到另一个接口内部处理时经过的各个步骤，如acl,nat,vpn等Packet-TracerNew Reader Tip: Troubleshooting Access Problems Using Packet-TracerTroubleshooting access problems through a firewall is often very difficult, especially when speed to resolution is critical. Errors in long complex ACLs can beeasily overlooked, and access failures caused by NAT, IDS, and routing make the problem even more difficult.Cisco has released an incredible new feature in ASA software version 7.2(1) that virtually eliminates the guesswork. Packet-tracer allows a firewall administrator toinject a virtual packet into the security appliance and track the flow from ingress to egress. Along the way, the packet is evaluated against flow and route lookups,ACLs, protocol inspection, NAT, and IDS. The power of the utility comes from the ability to simulate real-world traffic by specifying source and destination addresseswith protocol and port information.Packet-tracer is available both from the CLI and in the ASDM. The ASDM version even includes animation (the value of which is questionable, but it is fun to watch),and the ability to navigate quickly to a failed policy.Here is the CLI syntax:packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]A few examples of truncated output show some of the most useful features. Not only does the tool show the result of an ACL evaluation, but also the specificACE that either permits or denies the packet, including a hit on the implicit deny.asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.1.1 23"Phase: 3Type: ACCESS-LISTSubtype: logResult: ALLOWConfig:access-group inside in interface inside access-list inside extended permit ip any 10.4.1.0 255.255.255.0Additional Information:asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.2.1 5282"Phase: 3Type: ACCESS-LISTSubtype: logResult: DROPConfig:access-group inside in interface inside access-list inside extended deny tcp any host 10.4.2.1 eq 5282Additional Information:Evaluations of other elements of the config are similarlyspecific. Here is an example with nat-control enabled but without proper address translation defined:asaTestlab# "packet-tracer input DMZ tcp 10.2.1.1 1024 10.4.2.1 http"Phase: 7Type: NATSubtype:Result: DROPConfig:nat (DMZ) 0 access-list NoNATnat-controlmatch ip DMZ any outside anyno translation group, implicit denypolicy_hits = 1－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－实例，在PIX515E，OS7.2上配置remote access vpn，配置好了用vpn client连接，正常，但怎么也ping不通防火墙内网的IP地址，这时看cliet statistics的discard的包很多，sent bytes很多，received byte为0，decrypted 为0，可以判断是包过去了，但回不来，但出在哪个地方呢，看配置文件一条一条看很烦的，也不容易查找问题，这时用packet-tracer 模拟一个包从外口进来到内口的数据包处理过程，Pix1(config)# packet-tracer input outside tcp 172.16.70.200 1024 172.16.10 23-----------------------模拟outside接口的地址172.16.70.200 telnet到inside接口的172.16.10-----------------------数据包从outside口进来Phase: 1Type: FLOW-LOOKUPSubtype:Result: ALLOWConfig:Additional Information:Found no matching flow, creating a new flow -----------------------查找路由，OK Phase: 2Type: ROUTE-LOOKUPSubtype: inputResult: ALLOWConfig:Additional Information:in 172.16.100.0 255.255.255.0 inside-----------------------检查outside的ACL，OK Phase: 3Type: ACCESS-LISTSubtype: logResult: ALLOWConfig:access-group 102 in interface outside access-list 102 extended permit ip any any Additional Information:Phase: 4Type: IP-OPTIONSSubtype:Result: ALLOWConfig:Additional Information:Phase: 5Type: CP-PUNTSubtype:Result: ALLOWConfig:Additional Information:-----------------------应用ipsec 协议加密，OK，这时应该是数据包从inside到outside发送了Phase: 6Type: VPNSubtype: ipsec-tunnel-flowResult: ALLOWConfig:Additional Information:-----------------------返回的数据包本应该是ipsec 加密的，这时却被NAT检查，很明显nat 0忘了定义。