天亮了说晚安's Blog

本文转自：https://blog.swineson.me/dynamic-routing-and-nat-rules-for-anyconnect-server-on-cisco-asa/ 从ASA的设计来看，AnyConnect隧道不像是一个传统的Point-to-Point或Site-to-Site VPN隧道，而更像是一个IPSec Transform规则。每个客户端建立起隧道以后，ASA会为其动态生成一条路由，该路由具有如下特征： 类型为静态（STATIC）CIDR为/32接口为用户连入流量的来源接口，例如用户从公网访问则为outsite网关地址为接口对应的网关 动态路由协议 ASA和另一台路由器之间有一个BGP会话，现在想让另一台路由器能访问ASA上的AnyConnect客户端。那么有两种实现方法： 为每一个客户端宣告一条路由 这样很简单，BGP重分发静态路由即可。但是经过实验，ASA对动态生成的静态路由的重分发并不是十分靠谱：延迟严重，有的时候甚至根本不向BGP邻居推送更新消息。所以不是很建议使用这种方法。 至于大量/32条目污染路由表的问题，可以用auto-summary来解决。 预先宣告整个AnyConnect IP池 创建一条metric为254的静态路由，然后加入BGP的宣告列表即可。（注意ASA的metric 255等效于blackhole） 1234route outside 192.168.1.1 255.255.255.0 8.8.8.8......Read More

本文转自：https://blog.51cto.com/hujizhou/1854608 ASA 8.3 以后，NAT 算是发生了很大的改变，之前也看过8.4 的ASA，改变的还有×××，加入了Ikev2 。MPF 方法加入了新的东西，QOS 和策略都加强了，这算是Cisco 把CCSP 的课程改为CCNP Security 的改革吧！ 拓扑图就是上面的，基本配置都是一样，地址每个路由器上一条默认路由指向ASA。  基本通信没问题，关于8.3 以后推出了两个概念，一个是network object 它可以代表一个主机或者子网的访问。另外一个是service object，代表服务。 1、地址池的形式的NAT 配置 老版本代表一个12.1.1.0 的地址池转换成200.200.200.3-200.200.200.254 一对一的转换 nat (inside) 1 12.1.1.0 255.255.255.0global (outside) 1 200.200.200.3-200.200.200.254 新版本(Network object NAT) ciscoasa(config)# object network insideciscoasa(config-network-object)# subnet 12.1.1.0 255.255.255.0ciscoasa(config-network-object)# exitciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 200.200.200.3 200.200.200.254ciscoasa(config-network-object)......Read More

本文转自：http://blog.sina.com.cn/s/blog_a70750300101h5s0.html 拓扑 ：这个拓扑比较的简单这里不需要解释： pix1的完整配置： interface Ethernet0 description LAN Failover Interface!interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2!interface Ethernet2 nameif outside security-level 0 ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2!interface Ethernet3 description STATE Failover Interface failover lan unit primaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.255.255.0 standby 192.168.100.2failover interface ip state 192.168.200.1 255.255.255.0 standby 192.168.200.2 failover lan enablefailover pix2的配置： failover lan unit secondaryfailover lan interface wangjie Ethernet0failover key 123 failover link state Ethernet3failover interface ip wangjie 192.168.100.1 255.2......Read More

本文转自：https://blog.51cto.com/luojinghappy/1045230 ASA failover可以通过一根交叉线直连，或者通过LAN的方式来实现。两种方式各有利弊，个人比较倾向LAN的方式，下面是一个LAN方式实现的配置实例。 如下图，两台ASA上的outside口，Inside口以及DMZ口都必须分别在同一网段。可以用独立交换机分开，也可以用VLAN实现。 在主ASA上的配置： A.A.A.A与B.B.B.B， C.C.C.C与D.D.D.D， E.E.E.E与F.F.F.F  G.G.G.G与H.H.H.H要分别在同一个网段内。 interface Ethernet0/0      description Outside Public Network       nameif outside       security-level 0       ip address A.A.A.A 255.255.255.0 standby B.B.B.B       interface Ethernet0/1       description Inside Private Network       nameif inside       security-level 100       ip address C.C.C.C 255.255.255.0 standby D.D.D.Dinterface Ethernet0/2       description LAN/STATE Failover Interfaceinterface Ethernet0/3       nameif dmz       security-level 50       ip address E.E.E.E 255.255.255.0......Read More