Hướng dẫn cấu hình giao diện ASA5510 và các dòng cao hơn

Cấu hình giao diện ASA5510 và các dòng cao hơn

Firewall Cisco ASA dòng sản phẩm thiết bị tưởng lửa nổi bật của Cisco với hàng loạt các tính năng mới được cập nhật liên tục. Ở bài viết trước CiscoData đã giới thiệu đến các bạn những cấu hình cơ bản và dưới đây chúng tôi sẽ tiếp tục giới thiệu đến bạn đọc các cấu hình giao diện ASA5510 cũng như các dòng cao hơn.

Ở chương này chúng tôi sẽ thực hiện hướng dẫn cấu hình và cài đặt các thông tin như Ethernet, giao diện dự phòng và EtherChannels.

Bắt đầu Cisco ASA 5510cấu hình giao diện tường lửa cao hơn chúng ta sẽ đi vào các đặc điểm chính:

Tính năng Auto-MDI / MDIX
Giao diện trong chế độ trong suốt
Giao diện quản lý
Giao diện dự phòng
EtherChannels
Tính năng Auto-MDI / MDIX

Đối với giao diện RJ-45 trên dòng ASA 5500, cài đặt đàm phán tự động mặc định cũng bao gồm tính năng Auto-MDI / MDIX. Auto-MDI / MDIX loại bỏ sự cần thiết cho việc chuyển đổi cáp chéo bằng cách thực hiện một giao nhau nội bộ khi một cáp thẳng được phát hiện trong giai đoạn đàm phán tự động.

Tốc độ hoặc duplex phải được đặt thành tự động thương lượng để bật Tự động MDI / MDIX cho giao diện. Nếu bạn đặt rõ ràng cả tốc độ và duplex thành giá trị cố định, do đó vô hiệu hóa tự động thương lượng cho cả hai cài đặt, thì Auto-MDI / MDIX cũng bị tắt.

Đối với Gigabit Ethernet, khi tốc độ và duplex được đặt thành 1000 và đầy, thì giao diện luôn tự động thương lượng; do đó Auto-MDI / MDIX luôn được bật và bạn không thể tắt nó.

Giao diện trong chế độ trong suốt

Giao diện trong chế độ trong suốt thuộc về một “nhóm cầu nối”, một nhóm cầu nối cho mỗi mạng. Bạn có thể có tối đa tám nhóm cầu nối gồm bốn giao diện mỗi ngữ cảnh hoặc trong một chế độ đơn lẻ.

Quản lý 0/0 Giao diện trên ASA 5512-X qua ASA 5555-X
Giao diện quản lý 0/0 trên ASA 5512-X qua ASA 5555-X có các đặc điểm sau:
• Không thông qua hỗ trợ giao thông
• Không hỗ trợ subinterface
• Không hỗ trợ hàng đợi ưu tiên
• Không hỗ trợ MAC đa hướng
• Mô-đun phần mềm IPS SSP chia sẻ giao diện quản lý 0/0. Các địa chỉ MAC và địa chỉ IP riêng biệt được hỗ trợ cho mô-đun ASA và IPS. Bạn phải thực hiện cấu hình địa chỉ IP IPS trong hệ điều hành IPS. Tuy nhiên, các đặc tính vật lý (như cho phép giao diện) được cấu hình trên ASA.

Giao diện dự phòng

Giao diện dự phòng hợp lý bao gồm một cặp giao diện vật lý: một giao diện hoạt động và chế độ chờ. Khi giao diện hoạt động không thành công, giao diện dự phòng sẽ hoạt động và bắt đầu truyền lưu lượng. Bạn có thể cấu hình một giao diện dự phòng để tăng độ tin cậy ASA. Tính năng này tách biệt với chuyển đổi dự phòng cấp thiết bị, nhưng bạn có thể định cấu hình các giao diện dự phòng cũng như chuyển đổi dự phòng ở cấp thiết bị nếu muốn.

EtherChannels

EtherChannel 802.3ad là một giao diện logic (được gọi là giao diện cổng-cổng) bao gồm một bó các liên kết Ethernet riêng lẻ (một nhóm kênh) để bạn tăng băng thông cho một mạng đơn lẻ. Giao diện kênh cổng được sử dụng giống như giao diện vật lý khi bạn định cấu hình các tính năng liên quan đến giao diện. Bạn có thể cấu hình tối đa 48 EtherChannels.

Kết nối với EtherChannel trên thiết bị khác

Thiết bị mà bạn kết nối ASA EtherChannel cũng phải hỗ trợ các EtherChannels 802.3ad; ví dụ, bạn có thể kết nối với công tắc Catalyst 6500.
Khi switch là một phần của Virtual Switching System (VSS), thì bạn có thể kết nối các giao diện ASA trong cùng EtherChannel để tách các switch trong VSS. Các giao diện chuyển mạch là thành viên của cùng một giao diện kênh cổng
EtherChannel, bởi vì các công tắc riêng biệt hoạt động giống như một công tắc đơn

Hình ảnh: Kết nối VSS

Nếu bạn sử dụng ASA trong triển khai chuyển đổi dự phòng Active / Standby, thì bạn cần phải tạo các EtherChannels riêng biệt trên các switch trong VSS, một cho mỗi ASA. Trên mỗi ASA, một EtherChannel duy nhất kết nối với cả hai switch.

Thậm chí nếu bạn có thể nhóm tất cả các giao diện chuyển đổi thành một EtherChannel duy nhất kết nối với cả hai ASAs (trong trường hợp này, EtherChannel sẽ không được thiết lập vì ID hệ thống ASA riêng biệt), một EtherChannel đơn lẻ sẽ không được mong muốn bởi vì bạn không muốn gửi lưu lượng sang chế độ chờ ASA.

cấu hình giao diện ASA5510
Hình ảnh: Chuyển đổi dự phòng / tạm dừng VSS

Giao thức kiểm soát tập hợp liên kết

Giao thức kiểm soát tập hợp liên kết (LACP) tổng hợp các giao diện bằng cách trao đổi các đơn vị dữ liệu giao thức điều khiển liên kết tập hợp (LACPDUs) giữa hai thiết bị mạng.
Bạn có thể cấu hình mỗi giao diện vật lý trong EtherChannel là:

• Hoạt động — Gửi và nhận các cập nhật LACP. Một EtherChannel hoạt động có thể thiết lập kết nối với một EtherChannel hoạt động hoặc thụ động. Bạn nên sử dụng chế độ hoạt động trừ khi bạn cần giảm thiểu lưu lượng LACP.

• Passive — Nhận cập nhật LACP. Một EtherChannel thụ động chỉ có thể thiết lập kết nối với một EtherChannel hoạt động.

• Bật — EtherChannel luôn bật và LACP không được sử dụng. EtherChannel “on” chỉ có thể thiết lập kết nối với EtherChannel “on” khác.

LACP phối hợp việc thêm tự động và xóa các liên kết tới EtherChannel mà không cần sự can thiệp của người dùng. Nó cũng xử lý các cấu hình sai và kiểm tra rằng cả hai đầu của giao diện thành viên được kết nối với nhóm kênh chính xác. Chế độ “Bật” không thể sử dụng giao diện dự phòng trong nhóm kênh khi giao diện bị ngắt và kết nối và cấu hình không được chọn.

Cấu hình giao diện khởi động (ASA 5510 và cao hơn)

– Luồng công việc cho cấu hình giao diện khởi động
– Chuyển đổi giao diện trong sử dụng sang giao diện dự phòng hoặc EtherChannel
– Kích hoạt giao diện vật lý và định cấu hình các tham số Ethernet
– Cấu hình giao diện dự phòng
– Cấu hình EtherChannel
– Cấu hình VLAN Subinterfaces và 802.1Q Trunking
– Bật hỗ trợ khung Jumbo (Các kiểu được hỗ trợ)

Bắt đầu với việc cấu hình giao diện cần thực hiện

– Bước 1 (Nhiều chế độ ngữ cảnh) Hoàn thành tất cả các tác vụ trong phần này trong không gian thi hành hệ thống. Để thay đổi từ ngữ cảnh sang không gian thực hiện hệ thống, hãy nhập lệnh hệ thống thay đổi.

– Bước 2 Kích hoạt giao diện vật lý, và tùy ý thay đổi các tham số Ethernet. Xem phần “Bật giao diện vật lý và định cấu hình tham số Ethernet” . Giao diện vật lý bị tắt theo mặc định.

– Bước 3 (Tùy chọn) Cấu hình cặp giao diện dự phòng. Xem phần “Định cấu hình giao diện dự phòng” . Một giao diện dự phòng hợp lý ghép nối một giao diện vật lý hoạt động và chế độ chờ. Khi giao diện hoạt động không thành công, giao diện dự phòng sẽ hoạt động và bắt đầu truyền lưu lượng.

– Bước 4 (Tùy chọn) Cấu hình EtherChannel. Xem phần “Định cấu hình EtherChannel” . Một EtherChannel nhóm nhiều giao diện Ethernet vào một giao diện logic duy nhất.

– Bước 5 (Tùy chọn) Cấu hình VLAN subinterface. Xem phần “Cấu hình VLAN Subinterfaces và 802.1Q Trunking” .

– Bước 6 (Tùy chọn) Bật hỗ trợ khung jumbo trên ASA 5580 và 5585-X theo phần “Bật hỗ trợ khung Jumbo (Mô hình được hỗ trợ)” .

– Bước 7 (Chỉ có nhiều chế độ ngữ cảnh) Để hoàn thành việc cấu hình các giao diện trong không gian thi hành hệ thống, hãy thực hiện các tác vụ sau được ghi trong Chương 6 “Cấu hình đa chế độ bối cảnh” .

Chuyển đổi giao diện sử dụng sang giao diện dự phòng hoặc EtherChannel

Nếu bạn có cấu hình hiện tại và muốn tận dụng tính năng giao tiếp dự phòng hoặc EtherChannel cho các giao diện hiện đang được sử dụng, bạn sẽ có một số thời gian chết khi bạn chuyển đổi sang giao diện logic.

Các bước chi tiết (Chế độ đơn)

Chúng tôi khuyên bạn nên cập nhật cấu hình của mình ngoại tuyến dưới dạng tệp văn bản và nhập lại toàn bộ cấu hình vì các lý do sau:

• Vì bạn không thể thêm giao diện được đặt tên làm thành viên của giao diện dự phòng hoặc EtherChannel, bạn phải xóa tên khỏi giao diện. Khi bạn xóa tên khỏi giao diện, bất kỳ lệnh nào được nhắc đến tên đó sẽ bị xóa. Do các lệnh đề cập đến tên giao diện phổ biến trong cấu hình và ảnh hưởng đến nhiều tính năng, việc xóa tên khỏi giao diện đang sử dụng tại CLI hoặc trong ASDM sẽ gây ra thiệt hại đáng kể cho cấu hình của bạn, chưa kể đến thời gian ngừng hoạt động đáng kể trong khi bạn định cấu hình lại tất cả các tính năng xung quanh tên giao diện mới.

• Việc thay đổi cấu hình của bạn ngoại tuyến cho phép bạn sử dụng cùng tên giao diện cho các giao diện lôgic mới, do đó bạn không cần phải chạm vào các cấu hình tính năng tham chiếu đến tên giao diện. Bạn chỉ cần thay đổi cấu hình giao diện.

• Xóa cấu hình đang chạy và áp dụng cấu hình mới ngay lập tức sẽ giảm thiểu thời gian ngừng hoạt động của giao diện của bạn. Bạn sẽ không phải chờ đợi để cấu hình các giao diện trong thời gian thực.

– Bước 1 Kết nối với ASA; nếu bạn đang sử dụng chuyển đổi dự phòng, hãy kết nối với ASA đang hoạt động.

– Bước 2 Nếu bạn đang sử dụng chuyển đổi dự phòng, hãy vô hiệu hóa chuyển đổi dự phòng bằng cách nhập lệnh không chuyển đổi dự phòng .

– Bước 3 Sao chép cấu hình đang chạy bằng cách nhập vào hệ thống: lệnh chạy-config và sao chép đầu ra màn hình vào một trình soạn thảo văn bản. Đảm bảo lưu một bản sao bổ sung của cấu hình cũ trong trường hợp bạn gặp lỗi khi chỉnh sửa.

– Bước 4 Đối với mỗi giao diện sử dụng mà bạn muốn thêm vào giao diện dự phòng hoặc EtherChannel, hãy cắt và dán tất cả các lệnh dưới lệnh giao diện vào cuối phần cấu hình giao diện để sử dụng trong việc tạo giao diện logic mới. Các trường hợp ngoại lệ duy nhất là các lệnh sau, nên giữ nguyên cấu hình giao diện vật lý.
Ví dụ:
Bạn có cấu hình giao diện sau, các lệnh in đậm là những lệnh chúng ta muốn sử dụng với ba giao diện EtherChannel mới, và bạn nên cắt và dán vào cuối phần giao diện.

giao diện GigabitEthernet0 / 0
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.86.194.225 255.255.255.0
không tắt máy
!
giao diện GigabitEthernet0 / 1
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.1.3 255.255.255.0
không tắt máy
!
giao diện GigabitEthernet0 / 2
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 3
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 4
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 5
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
Giao diện quản lý0 / 0
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.1.1.5 255.255.255.0
không tắt máy
!
Giao diện quản lý0 / 1
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP

– Bước 5 Trên mỗi phần lệnh được dán, tạo các giao diện lôgic mới của bạn bằng cách nhập một trong các lệnh sau:
• số dự phòng giao diện [1-8] • giao diện kênh kênh channel_id [1-48] Ví dụ:

cổng giao diện kênh 1
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.86.194.225 255.255.255.0
không tắt máy
!
giao diện cổng-kênh 2
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.1.3 255.255.255.0
không tắt máy
!
cổng giao diện kênh 3
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.1.1.5 255.255.255.0
không tắt máy

– Bước 6 Gán giao diện vật lý cho các giao diện logic mới:
• Giao diện dự phòng — Nhập các lệnh sau theo lệnh dự phòng giao diện mới :

giao diện thành viên physical_interface1
giao diện thành viên physical_interface2

Trường hợp các giao diện vật lý là bất kỳ hai giao diện cùng loại (hoặc trước đây được sử dụng hoặc không sử dụng). Bạn không thể gán giao diện Quản lý cho giao diện dự phòng.

Ví dụ, để tận dụng lợi thế của cáp hiện có, bạn sẽ tiếp tục sử dụng các giao diện sử dụng trước đây trong các vai trò cũ của chúng như là một phần của các giao diện dự phòng bên trong và bên ngoài:

giao diện dự phòng 1
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.86.194.225 255.255.255.0
giao diện thành viên GigabitEthernet0 / 0
giao diện thành viên GigabitEthernet0 / 2
giao diện dự phòng 2
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.1.3 255.255.255.0
giao diện thành viên GigabitEthernet0 / 1
giao diện thành viên GigabitEthernet0 / 3

• Giao diện EtherChannel — Nhập lệnh sau theo từng giao diện bạn muốn thêm vào EtherChannel (hoặc trước đây được sử dụng hoặc không sử dụng). Bạn có thể gán tối đa 16 giao diện cho mỗi EtherChannel, mặc dù chỉ có 8 giao diện có thể hoạt động; những người khác đang ở trạng thái chờ trong trường hợp thất bại chế độ channel_id kênh channel hoạt động

Ví dụ, để tận dụng lợi thế của cáp hiện có, bạn sẽ tiếp tục sử dụng các giao diện sử dụng trước đây trong các vai trò cũ của họ như là một phần của giao diện EtherChannel bên trong và bên ngoài:

giao diện GigabitEthernet0 / 0
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 1
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 2
chế độ nhóm kênh 1 đang hoạt động
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 3
chế độ nhóm kênh 1 đang hoạt động
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 4
chế độ nhóm kênh 2 đang hoạt động
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 5
chế độ nhóm kênh 2 đang hoạt động
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
Giao diện quản lý0 / 0
chế độ nhóm kênh 3 đang hoạt động
không tắt máy
!
Giao diện quản lý0 / 1
chế độ nhóm kênh 3 đang hoạt động
tắt
không có tên
không có cấp độ bảo mật
không có địa chỉ IP

– Bước 7 Kích hoạt mỗi giao diện trước đây chưa sử dụng mà bây giờ là một phần của một giao diện logic bằng cách thêm không ở phía trước của lệnh shutdown .

Ví dụ, cấu hình EtherChannel cuối cùng của bạn là:
giao diện GigabitEthernet0 / 0
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 1
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 2
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 3
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 4
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
giao diện GigabitEthernet0 / 5
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
Giao diện quản lý0 / 0
chế độ nhóm kênh 3 đang hoạt động
không tắt máy
!
Giao diện quản lý0 / 1
chế độ nhóm kênh 3 đang hoạt động
không tắt máy
không có tên
không có cấp độ bảo mật
không có địa chỉ IP
!
cổng giao diện kênh 1
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.86.194.225 255.255.255.0
!
giao diện cổng-kênh 2
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.1.3 255.255.255.0
!
cổng giao diện kênh 3
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.1.1.5 255.255.255.0

– Bước 8 Tại dấu nhắc ASA CLI, thực hiện các bước sau tùy thuộc vào kết nối của bạn (console hoặc remote).

• Kết nối Console:

a. Sao chép toàn bộ cấu hình mới vào clipboard, bao gồm phần giao diện đã thay đổi.
b. Xóa cấu hình đang chạy bằng cách nhập:

hostname (config) # clear cấu hình tất cả

Giao thông qua ASA dừng tại điểm này.

c. Dán vào cấu hình mới tại dấu nhắc.
Lưu lượng truy cập thông qua hồ sơ ASA.

• Kết nối từ xa:

a. Lưu cấu hình mới vào máy chủ TFTP hoặc FTP, vì vậy bạn có thể sao chép cấu hình đó vào cấu hình khởi động trên ASA. Ví dụ, bạn có thể chạy một TFTP hoặc máy chủ FTP trên máy tính của bạn.
b. Xóa cấu hình khởi động bằng cách nhập:
tên máy chủ (config) # write erase
c. Sao chép cấu hình mới vào cấu hình khởi động bằng cách nhập:
hostname (config) # copy url khởi động-config
Xem phần “Tải xuống tệp về vị trí cụ thể”
d. Tải lại ASA bằng cách sử dụng lệnh tải lại . Không lưu cấu hình đang chạy.
– Bước 9 Chuyển đổi dự phòng đáng tin cậy bằng cách nhập lệnh chuyển đổi dự phòng .
Các bước chi tiết (Nhiều chế độ)
Chúng tôi khuyên bạn nên cập nhật cấu hình ngữ cảnh và hệ thống của mình ngoại tuyến dưới dạng tệp văn bản và nhập lại chúng vì những lý do sau:

• Vì bạn không thể thêm giao diện được cấp phát làm thành viên của giao diện dự phòng hoặc EtherChannel, bạn phải xử lý giao diện từ bất kỳ ngữ cảnh nào. Khi bạn deallocate giao diện, bất kỳ lệnh ngữ cảnh nào được gọi là giao diện đó sẽ bị xóa. Bởi vì lệnh tham chiếu đến giao diện rất phổ biến trên khắp các cấu hình và ảnh hưởng đến nhiều tính năng, loại bỏ một phân bổ từ một giao diện trong sử dụng tại CLI hoặc trong ASDM sẽ gây ra thiệt hại đáng kể về cấu hình của bạn, chưa kể đến thời gian chết đáng kể trong khi bạn cấu hình lại tất cả các tính năng của bạn xung quanh một giao diện mới.

• Việc thay đổi cấu hình của bạn ngoại tuyến cho phép bạn sử dụng cùng tên giao diện cho các giao diện lôgic mới, do đó bạn không cần phải chạm vào các cấu hình tính năng tham chiếu đến tên giao diện. Bạn chỉ cần thay đổi cấu hình giao diện.

• Xóa cấu hình hệ thống đang chạy và áp dụng ngay lập tức cấu hình mới sẽ giảm thiểu thời gian ngừng hoạt động của giao diện của bạn. Bạn sẽ không phải chờ đợi để cấu hình các giao diện trong thời gian thực.

– Bước 1 Kết nối với ASA, và thay đổi hệ thống; nếu bạn đang sử dụng chuyển đổi dự phòng, hãy kết nối với ASA đang hoạt động.

– Bước 2 Nếu bạn đang sử dụng chuyển đổi dự phòng, hãy vô hiệu hóa chuyển đổi dự phòng bằng cách nhập lệnh không chuyển đổi dự phòng .

– Bước 3 Trong hệ thống, sao chép cấu hình đang chạy bằng cách nhập vào hệ thống: lệnh chạy-config và sao chép đầu ra màn hình vào một trình soạn thảo văn bản.

Đảm bảo lưu một bản sao bổ sung của cấu hình cũ trong trường hợp bạn gặp lỗi khi chỉnh sửa.

Ví dụ, bạn có cấu hình và phân bổ giao diện sau trong cấu hình hệ thống, với các giao diện được chia sẻ giữa hai ngữ cảnh.

Hệ thống
giao diện GigabitEthernet0 / 0
không tắt máy
giao diện GigabitEthernet0 / 1
không tắt máy
giao diện GigabitEthernet0 / 2
tắt
giao diện GigabitEthernet0 / 3
tắt
giao diện GigabitEthernet0 / 4
tắt
giao diện GigabitEthernet0 / 5
tắt
Giao diện quản lý0 / 0
không tắt máy
Giao diện quản lý1 / 0
tắt
!
bối cảnh customerA
giao diện phân bổ gigabitethernet0 / 0 int1
giao diện phân bổ gigabitethernet0 / 1 int2
quản lý giao diện phân bổ0 / 0 mgmt
ngữ cảnh customerB
giao diện phân bổ gigabitethernet0 / 0
giao diện phân bổ gigabitethernet0 / 1
quản lý giao diện phân bổ0 / 0
– Bước 4 Nhận các bản sao của tất cả các cấu hình ngữ cảnh sẽ sử dụng giao diện EtherChannel hoặc dự phòng mới. Xem phần “Sao lưu cấu hình ngữ cảnh hoặc tệp khác trong bộ nhớ flash” .

Ví dụ, bạn tải xuống các cấu hình ngữ cảnh sau đây (cấu hình giao diện được hiển thị):
Ngữ cảnh CustomerA

giao diện int1
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.86.194.225 255.255.255.0
!
giao diện int2
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.1.3 255.255.255.0
không tắt máy
!
giao diện mgmt
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.1.1.5 255.255.255.0
chỉ quản lý
Ngữ cảnh CustomerB

giao diện GigabitEthernet0 / 0
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.20.15.5 255.255.255.0
!
giao diện GigabitEthernet0 / 1
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.6.78 255.255.255.0
!
Giao diện quản lý0 / 0
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.8.1.8 255.255.255.0

– Bước 5 Trong cấu hình hệ thống, tạo các giao diện logic mới theo phần “Cấu hình một giao diện dự phòng” hoặc phần “Cấu hình EtherChannel” . Hãy chắc chắn nhập lệnh no shutdown trên bất kỳ giao diện vật lý bổ sung nào mà bạn muốn sử dụng như một phần của giao diện logic.

Ví dụ, cấu hình mới là:
Hệ thống
giao diện GigabitEthernet0 / 0
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 1
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 2
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 3
chế độ nhóm kênh 1 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 4
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
!
giao diện GigabitEthernet0 / 5
chế độ nhóm kênh 2 đang hoạt động
không tắt máy
!
Giao diện quản lý0 / 0
chế độ nhóm kênh 3 đang hoạt động
không tắt máy
!
Giao diện quản lý0 / 1
chế độ nhóm kênh 3 đang hoạt động
không tắt máy
!
cổng giao diện kênh 1
giao diện cổng-kênh 2
cổng giao diện kênh 3

– Bước 6 Thay đổi giao diện phân bổ cho mỗi ngữ cảnh để sử dụng EtherChannel mới hoặc giao diện dự phòng. Xem phần “Định cấu hình ngữ cảnh bảo mật” .

Ví dụ, để tận dụng lợi thế của cáp hiện có, bạn sẽ tiếp tục sử dụng các giao diện sử dụng trước đây trong các vai trò cũ của chúng như là một phần của các giao diện dự phòng bên trong và bên ngoài:

Ngữ cảnh Customer A

giao diện cổng-kênh1 int1
phân bổ-giao diện cổng- kênh2 int2
phân bổ giao diện cổng channel3 Quản lý đ.thoại
ngữ cảnh customerB
cổng-cổng giao diện phân bổ1
cổng- giao diện phân kênh2
cổng-cổng giao diện phân bổ3

Lưu ý Bạn có thể muốn nhân cơ hội này để gán tên ánh xạ cho giao diện nếu bạn chưa làm như vậy. Ví dụ, cấu hình cho customerA không cần phải thay đổi gì cả; nó chỉ cần được áp dụng lại trên ASA. Cấu hình customerB, tuy nhiên, cần phải thay đổi tất cả các ID giao diện; nếu bạn gán tên ánh xạ cho customerB, bạn vẫn phải thay đổi ID giao diện trong cấu hình ngữ cảnh, nhưng tên được ánh xạ có thể giúp thay đổi giao diện trong tương lai.

– Bước 7 Đối với các bối cảnh không sử dụng tên ánh xạ, thay đổi cấu hình ngữ cảnh để sử dụng EtherChannel mới hoặc ID giao diện dự phòng. (Các ngữ cảnh sử dụng tên giao diện được ánh xạ không yêu cầu bất kỳ thay đổi nào.)
Ví dụ:
Ngữ cảnh Customer B

cổng giao diện -kênh1
nameif bên ngoài
mức độ bảo mật 0
địa chỉ ip 10.20.15.5 255.255.255.0
!
cổng giao diện -kênh2
nameif bên trong
cấp độ bảo mật 100
địa chỉ ip 192.168.6.78 255.255.255.0
!
cổng giao diện -kênh3
nameif mgmt
cấp độ bảo mật 100
địa chỉ ip 10.8.1.8 255.255.255.0

– Bước 8 Sao chép các tệp cấu hình ngữ cảnh mới trên các tệp cũ. Ví dụ, nếu ngữ cảnh của bạn là trên một máy chủ FTP, sao chép qua các tập tin hiện có (thực hiện sao lưu như mong muốn) bằng cách sử dụng FTP. Nếu ngữ cảnh của bạn nằm trong bộ nhớ flash, bạn có thể sử dụng lệnh sao chép và chạy một máy chủ TFTP hoặc FTP trên PC của bạn hoặc sử dụng bản sao bảo mật. Xem phần “Tải xuống tệp về vị trí cụ thể” . Thay đổi này chỉ ảnh hưởng đến cấu hình khởi động; cấu hình đang chạy vẫn đang sử dụng cấu hình ngữ cảnh cũ.
– Bước 9 Tại dấu nhắc CLI của hệ thống ASA, thực hiện các bước sau tùy thuộc vào kết nối của bạn (console hoặc remote).

• Kết nối Console:

a. Sao chép toàn bộ cấu hình hệ thống mới vào clipboard, bao gồm phần giao diện đã thay đổi.
b. Xóa cấu hình đang chạy (cả hệ thống và ngữ cảnh) bằng cách nhập:
hostname (config) # clear cấu hình tất cả
Giao thông qua ASA dừng tại điểm này.
c. Dán vào cấu hình hệ thống mới tại dấu nhắc.
Tất cả các cấu hình ngữ cảnh mới bây giờ tải lại. Khi họ tải xong, lưu lượng truy cập thông qua các hồ sơ ASA.

• Kết nối từ xa:

a. Lưu cấu hình hệ thống mới vào máy chủ TFTP hoặc FTP, vì vậy bạn có thể sao chép cấu hình đó vào cấu hình khởi động trên ASA. Ví dụ, bạn có thể chạy một TFTP hoặc máy chủ FTP trên máy tính của bạn.
b. Xóa cấu hình khởi động bằng cách nhập:
tên máy chủ (config) # write erase
c. Sao chép cấu hình hệ thống mới vào cấu hình khởi động bằng cách nhập:
hostname (config) # copy url khởi động-config
Xem phần “Tải xuống tệp về vị trí cụ thể”
d. Tải lại ASA bằng cách sử dụng lệnh tải lại . Không lưu cấu hình đang chạy.
Bước 10 Chuyển đổi dự phòng đáng tin cậy bằng cách nhập lệnh chuyển đổi dự phòng .
Bật giao diện vật lý và định cấu hình tham số Ethernet
Phần này mô tả cách:
• Kích hoạt giao diện vật lý
• Đặt tốc độ và duplex cụ thể (nếu có)
• Bật các khung tạm dừng để điều khiển luồng

Điều kiện tiên quyết

Đối với nhiều chế độ ngữ cảnh, hoàn tất quy trình này trong không gian thực thi hệ thống. Để thay đổi từ ngữ cảnh sang không gian thực hiện hệ thống, hãy nhập lệnh hệ thống thay đổi .

Các bước chi tiết

Bước 1
interface physical_interface
Thí dụ:
hostname (config) # giao diện gigabitethernet 0/0

Bước 2
(Không bắt buộc)
phương tiện truyền thông kiểu sfp
Thí dụ:
hostname (config-if) # phương tiện truyền thông kiểu sfp

Bước 3
(Không bắt buộc)
tốc độ { auto | 10 | 100 | 1000 | nonegotiate }
Thí dụ:
hostname (config-if) # tốc độ 100

Bước 4
(Không bắt buộc)
duplex { auto | đầy đủ | một nửa }
Thí dụ:
hostname (config-if) # duplex đầy đủ

Bước 5
(Không bắt buộc)
flowcontrol gửi vào [ low_water high_water pause_time ] [ noconfirm ]
Thí dụ:
tên máy chủ (config-if) # flowcontrol gửi trên 95 200 10000

Bước 6
không tắt máy
Thí dụ:
hostname (config-if) # không tắt máy

Cấu hình giao diện dự phòng

Điều kiện tiên quyết
• Cả hai giao diện thành viên phải có cùng loại vật lý. Ví dụ, cả hai phải là Ethernet.
• Bạn không thể thêm giao diện vật lý vào giao diện dự phòng nếu bạn định cấu hình tên cho giao diện đó. Trước tiên, bạn phải xóa tên bằng cách sử dụng lệnh no nameif .
• Đối với nhiều chế độ ngữ cảnh, hoàn thành quy trình này trong không gian thực thi hệ thống. Để thay đổi từ ngữ cảnh sang không gian thực hiện hệ thống, hãy nhập lệnh hệ thống thay đổi .

Bước 1
-số dự phòng giao diện
Thí dụ:
hostname (config) # giao diện dư thừa 1

Bước 2
thành viên giao diện physical_interface
Thí dụ:
hostname (config-if) # quản lý giao diện thành viên 0/0

Bước 3
thành viên giao diện physical_interface
Thí dụ:
hostname (config-if) # quản lý giao diện thành viên 1/0

Thay đổi giao diện hoạt động

Theo mặc định, giao diện hoạt động là giao diện đầu tiên được liệt kê trong cấu hình, nếu nó có sẵn. Để xem giao diện nào đang hoạt động, hãy nhập lệnh sau:

hostname # hiển thị giao diện chi tiết số dự phòng | grep Thành viên
Ví dụ:
hostname # show interface redundant1 chi tiết | grep Thành viên
Thành viên GigabitEthernet0 / 3 (Active), GigabitEthernet0 / 2

Để thay đổi giao diện hoạt động, hãy nhập lệnh sau:

hostname # redundant-interface số dự phòng active-member physical_interface

trong đó đối số số thừa là ID giao diện dự phòng, chẳng hạn như dự phòng1. Các physical_interface là thành viên giao diện ID mà bạn muốn trở thành hoạt động.
Liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất các thông tin trong bài viết trên.

Hướng dẫn cấu hình giao diện ASA5510 và các dòng cao hơn
5 (100%) 5 đánh giá

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *