请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】Cisco ASA 设备使用指南(第3版)

[复制链接]
发表于 2017-12-28 21:15:44 | 显示全部楼层
3.新旧版本ASA 的数据转发有什么变化?
官方文档述说8.25 与之前的版本数据流走向如下
1.nat 0 access-list (nat-exempt)
2.Match existing xlates
3.Match static commands (first match)
a.Static NAT with access-list
b.Static PAT with and without access-list
4.Match nat commands
a.nat <id> access-list (first match)
b.nat <id> <address> <mask> (best match)
i.If the ID is 0, create an identity xlate
ii.Use global pool for dynamic NAT
iii.Use global pool for dynamic PAT

8.25后的版本数据流走向如下:
1.Manual NAT entries
2.Auto NAT entries
3.After-Auto NAT entries

4.Match nat commands
a.nat <id> access-list (first match)
b.nat <id> <address> <mask> (best match)
i.If the ID is 0, create an identity xlate
ii.Use global pool for dynamic NAT
iii.Use global pool for dynamic PAT



4.一对一映射,内部服务器IP 端口映射如何配置?新旧版本的NAT 有什么区别?
老版本的NAT 服务器映射,ACL 放通外网映射公网IP地址+端口;
新版本的NAT 服务器映射ACL 放通的是真实内网服务器IP地址 +端口, 这两个点要很注意哦

5.静态路由如何实现监控检测?ASA配置SLA 有哪些常用检测方式?
静态路由可以通过SLA + track 来实现  ,一般SLA 可以做ICMP ping 测试,和TCP   UDP端口测试,根据实际需要来配置
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-29 15:43:33 | 显示全部楼层

欢迎跟专家一起读书
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-30 11:44:37 | 显示全部楼层
3.新旧版本ASA 的数据转发有什么变化?

新版的数据转发是先进行NAT  Untranslate   然后到ACL  permit , 而旧版ASA 是先进行ACL  permit的

4.一对一映射,内部服务器IP 端口映射如何配置?新旧版本的NAT 有什么区别?
ASA防火墙8.3以后版本不支持旧的NAT命令,包括:
•alias
•global
•nat (old version)
•nat-control
•static
•sysopt nodnsalias—This command is not migrated; instead, configure the dns option within the new NAT commands.
采用了新的NAT命令,包括:
•nat dynamic
•nat static
•nat source dynamic
•nat source static


5.静态路由如何实现监控检测?ASA配置SLA 有哪些常用检测方式?

静态路由一般都是通过track来检测,而track 绑定SLA  ,通过IP  SLA 实现检测




  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-30 16:14:35 | 显示全部楼层
3.新旧版本ASA 的数据转发有什么变化?
数据转发流程如下
QQ截图20171230161114.jpg


4.一对一映射,内部服务器IP 端口映射如何配置?新旧版本的NAT 有什么区别?
我所知道的就是普通NAT 使用object 方式,然后内网服务器映射的话NAT 放通的是内网真实IP,还有VPN 的感兴趣流的NAT 是两个本地跟对端object 做NAT

5.静态路由如何实现监控检测?ASA配置SLA 有哪些常用检测方式?

一般我们用的是SLA ,监控ping , ping的可以是互联IP 地址,也可以是任何一个路由可达的IP 地址,这个是我项目中比较常用的一种方式!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-31 17:20:44 | 显示全部楼层
老版本里面用NAT 0 排除流量的,而在新版本里用Twice NAT+Identify 组合
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-31 18:47:20 | 显示全部楼层
1、地址池的形式的NAT 配置

老版本代表一个12.1.1.0 的地址池转换成200.200.200.3-200.200.200.254 一对一的转换

nat (inside) 1 12.1.1.0 255.255.255.0
global (outside) 1 200.200.200.3-200.200.200.254

新版本(Network object NAT)

ciscoasa(config)# object network inside
ciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0
ciscoasa(config-network-object)# exit
ciscoasa(config)# object network outside-pool
ciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254
ciscoasa(config-network-object)# exit
ciscoasa(config)# object network inside
ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-pool
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-12-31 18:58:46 | 显示全部楼层
静态路由一般通过ping来检测, ICMP)的回声请求监控目标如果未收到回声应答,则将对象视为失效,并从路由表中删除相关路由,并用以前配置的备份路由代替所删除的路由。当使用备份路由时,SLA 监控操作不断尝试访问监控目标。目标再次可用后,将替换路由表中的第一个路由,并删除备份路由。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-2 09:36:08 | 显示全部楼层
截图几张NAT 的照片
NAT.jpg NAT2.jpg 策略NAT.jpg 动态NAT.jpg
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-2 09:37:02 | 显示全部楼层
然后是路由检测的截图,说得还是很详细的!
track.jpg track2.jpg
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-1-2 09:46:41 | 显示全部楼层
来两张OSPF 的t截图
ospf.jpg ospf1.jpg
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-1-20 09:30 , Processed in 0.107204 second(s), 54 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表