请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】Cisco ASA 设备使用指南(第3版)

[复制链接]
发表于 2018-1-2 13:26:39 | 显示全部楼层
2018年1月2日
虚拟防火墙是将一个屋里防火墙虚拟为多个独立的防火墙,每个防火墙都可以作为一个独立的设备使用,




<物理防火墙>
就这样
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-2 13:54:34 | 显示全部楼层
6.为什么需要虚拟化?有哪些优势
使用虚拟化主要原因是因为硬件的性能过剩,只跑单个应用的话太浪费了。
使用虚拟化的优势有:节约成本,资源最大化,提高灵活性,响应能力和弹性

7.透明防火墙部署有哪些注意事项?
·将路由模式切换为透明模式,或者将透明模式切换为路由模式,都会清空运行配置文件。因此在进行这种切换之前要储存运行配置文件。
·无论是SMTF还是MMTF都不支持动态路由协议,如RIP、OSPF或EIGRP。因此所有与OSPF、RIP和EIGRP有关的命令都无法使用。
·透明模式支持NAT功能,不过有一些限制。
·过滤流量时,可以使用3层或EtherType ACL来过滤穿越ASA的IP或非IP流量。
·为使有些应用监控(特别是语音协议的应用)能够正常工作,必须设置静态路由。

8.ASA 支持哪些高可用?适合什么环境?
主用/备用模式--主用设备传输流量,备用设备对主用设备的状态进行监测。
主用/主用模式--双方都会主动传输流量,同时也都会对对方状态进行监测,只能部署在多模模式下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-2 13:59:49 | 显示全部楼层
Rocky 发表于 2018-1-2 13:54
6.为什么需要虚拟化?有哪些优势
使用虚拟化主要原因是因为硬件的性能过剩,只跑单个应用的话太浪费了。
...

学习了,可以把这些答案累加统计起来也是等于看了这本书的核心内容
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-3 11:43:05 | 显示全部楼层
6.为什么需要虚拟化?有哪些优势一台设备当多台设备用,当设备本身硬件性能满足需求的状态下,可以1虚多且互相隔离,但在9.x版本之间,虚墙还是有很多限制,现在版本的虚墙功能已经比较完善了;

7.透明墙部署有哪些注意事项?
2层和3层之间要互换转,所有配置都会被清空,这是关键点;

8.ASA 支持哪些高可用?适合什么环境?
支持A/S或A/A,无论哪一种,都要解决会话状态信息的同步问题,具体采用哪种模式,要结合实际业务需求/拓扑结构而定;

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-5 09:42:50 | 显示全部楼层
6.为什么需要虚拟化?有哪些优势
设备虚拟化有几个优势:1.可以充分利用设备,如果买到比较高端的ASA ,一般设备性能使用可能只有20-30% ,这样设备就浪费了资源。如果虚拟很多太ASA ,给不同的部门使用,其他流量引过来,就能很好的利用设备的资源。2 安全性提高,比如运营商或者大企业不同部门,运营商将每个虚拟ASA 分配给不同的公司使用,每个虚拟化ASA 都是独立的,更加安全。

7.透明模式部署有哪些注意事项?
透明模式部署必须配置一个独立管理IP,否则无法配置为透明模式,还有透明模式可以做NAT ,但是不能座VPN ,无法使用路由协议,还有一些需要注意的地方可以查阅手册。

8.ASA 支持哪些高可用?适合什么环境?
首先可以做集群,集群是非常常见的一种高可用,不但可以实现高可用,还能实现负载均衡,这种模式适合大企业,运营商等环境;其次failover,可以是AS   AA模式,适合一般企业,主要是防止单机戎机的情况。  还有高可用的就是备用线路这种模式。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-1-5 14:10:59 | 显示全部楼层
每个网络都有特殊化,有的网络需要防火墙服务,有的网络你能开防火墙,这时候就要虚拟化了,买一个物理设备可以解决多个区域网络。
还有数据中心环境中,虚拟化在成本优势上很明显
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-5 14:29:01 | 显示全部楼层
一定要有管理IP,只能支持2个接口,不能起路由,也没有VPN等功能,也不能做QOS。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-5 14:46:04 | 显示全部楼层
接口高可用,设备高可用 可以是A/S,也可以是A/A,还能是状态化切换。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-1-5 15:38:18 | 显示全部楼层
关于透明模式还有这些
1. 必须配置一个管理地址,切管理地址不能是主机掩码,跟被监控的网络是一个子网。
2.只允许2个接口,不管你实际有几个物理接口,#这个跟版本有关系,8.4以后可以多个桥接组,每个桥接组2个端口
3. 可用使用扩展控制列表去放行3层流量。可以使用ethertype access list 去控制其他非ip协议。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-1-5 15:42:11 | 显示全部楼层
failover分为两种:
1、active/standby   只有一边走流量;
2、active /active     双active,两边都走流量;通过虚拟firewall来实现;
又分为:
1、hardware failover:当active down了,以前建立的链接如:已建立的tcp连接,在standby接管active后需要重新建立链接;
2、statefull failover:当active down了,以前建立的链接如:已建立的tcp连接,在standby接管active后不需要重新建立链接;

要实现failover,两台设备需要满足以下的一些条件:
1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等
2.相同的软件版本号,此处即指ASA的IOS版本
3.相同的FW模式,必须同为路由模式或者透明模式
4.相同的特性集,如支持的加密同为DES或者3DES
5.合适的licensing,两台设备的license符合基本要求,能支持相同的failover
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-9-21 01:24 , Processed in 0.088308 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表