思科ASA 5510防火墙设置教程第2部分

　　在思科ASA防火墙设置教程的第1部分中，我们对初始更新和内部接口以及路由设备的准备工作进行了深入了解。尽管不知道其它人是怎么想的，但就个人而言我是非常喜欢对工作流程进行优化处理。因此，当前面临的首要任务就变成了建立起随时随地对网络设备进行访问的功能。在文章下面的内容中，我将先对访问管理功能的设置过程进行一下简单介绍，然后就进入到建立一个包含有两台设备的群集的相关工作中。

　　现在，我们首先要做的第一件事......就是对访问管理功能进行调整。我们需要做的就是单击打开ASDM左上角的配置栏，选择左下角的设备管理项目，并进一步展开设备管理树中的访问管理项目。由于我们一直都是在利用直连网线访问ASDM，所以管理界面可能已经处于启用状态。并且，由于在前面我们已经对内部接口和路由进行过配置，所以剩下的工作可能就是选择将权限对网络整体开放。在这里大家需要注意的是，请务必确保只有网络中的系统才能获得这种权限。在下面给出的示例中，我将利用上次完成了配置采用192.168.12.0网络地址的技术部子网来进行说明。

　　1、单击打开添加选项

　　2、单击选择ASDM/HTTPS以实现容许系统访问ASDM使用界面的目标。

　　*注意事项：如果大家喜欢使用命令行工具的话，也可以选择利用Telnet或SSH等命令来实现相应的设置。从个人获得的经验来看，我强烈建议大家不要使用Telnet来进行操作。原因就在于它通信的时间将采用纯文本格式。这就意味着如果有人对网络进行窥探的话，就可以实现对流量数据进行截取，轻松获得用户名、密码和配置情况等机密信息。

　　3、在网络IP地址字段中输入192.168.12.0的地址，以实现允许访问该网络的目标。

　　4、在掩码字段中输入255.255.255.0。

　　*如果系统采用的是静态IP地址的话，下面的选择就会变得少得多。举例来说，如果计算机的静态IP地址是192.168.12.5的话，掩码就需要是255.255.255.255。

　　图A显示就是配置完成后的结果对话框。

　　图A

　　5、单击页面底部的确认并应用项目。当然，为了确保防火墙已经将这项配置保存起来并会在系统下次重新加载的时间进行应用，我们还应该单点选择保存项目。

　　现在，我们就可以坐在办公桌前，利用位于192.168.12.0网络中的计算机轻松访问ASDM(或者命令行)了。为了防止单点故障出现，接下来我们要做的工作就是设置主/备用群集。

　　为了确保群集能够建立起来，我们需要保证所有相关网线都正确插入到交换机所对应的虚拟局域网上。在本文给出的示例中，我作出的选择就是将所有管理接口都插入到三层交换机的一张管理用虚拟局域网上。这样的话，所有设备就实现了网络内直连，而内部以及外部接口则可以通过虚拟局域网进行集中管理。具体的操作步骤如下所示：

　　1、登入主设备，选择配置栏目并切换到设备管理项目。

　　2、现在选择展开高可用性项并选择故障切换

　　3、在设置栏目中选择上启用故障切换以及使用32位十六进制字符密钥(否则当两台设备之间进行通讯时就会采用纯文本格式)等项目。

　　4、输入事前选好的共享密钥

　　5、在局域网故障切换项目中，选择在处理故障切换时(该接口会直接连接到其它ASA设备上)将会使用到的接口

　　6、对用途进行清晰明了的说明(举例来说：故障切换)

　　7、选择主设备使用的网络IP地址。在这里，并没有什么额外的限制条件。如果目前网络配置所使用的地址类型是192.168.XX的话，这里也可以选择10.XXX类型的网络IP地址。

　　8、选择备用设备使用的网络IP地址。举例来说，如果主设备使用的网络IP地址是10.10.10.2的话，这里最好就使用10.10.10.3。

　　9、选择使用的子网掩码(在本文给出的示例中，就是前3字节匹配，即255.255.255.0)

　　10、选择主设备的基本规则。

　　图B显示的就是完成配置后出现的结果对话框。

　　图B

　　11、单击应用项目，系统就可以自动完全设置好两台设备上的故障切换配置功能。

　　现在，我们就可以利用ASA设备前部的LED指示灯来确认故障切换功能是否启用。主设备(现在也是首选规则所在)上的LED指示灯在“启用”后将显示为绿色，而备用设备的LED指示灯在“启用”后将显示为琥珀色/橙色。接下来，我们就可以利用将网线从主设备内部接口上拔出的方式来测试故障切换功能的设置是否正确。现在，我们再看前部LED指示灯的话，备用设备上的颜色就应该变成绿色。如果设置正常的话，尽管可能依然需要进行刷新或者重新登录，但我们还是可以通过网络连接到ASDM上。在ASDM设备仪表板下的故障转移状态项目中，我们还可以看到所发生的变化。如图C所示。

　　图C

　　在完成了1和2两部分的工作后，我们已经实现了通过网络对设备进行访问，并且也不再需要担心单点故障带来的问题。而在接下来的文章中，我将对外部接口设置和对ASA进行配置以便使用活动目录的功能进行介绍。

思科ASA 5510防火墙设置教程第1部分

思科ASA 5510防火墙设置教程第2部分

思科ASA 5510防火墙设置教程第3部分