单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...-CSDN博客

本文链接：https://blog.csdn.net/weixin_36394468/article/details/113031446

一.实验概述

实验目的：

1/开机零配置中性企业网络骨干架构。

2/部署出口防火墙HA(Active/Standby)并验证测试。

3/部署双出口自动冗余切换并验证测试。

实验材料：

EVE-NG ，ASAv(v9.8) ，路由器，L3交换机。

实验前提

此次实验防火墙为routed模式，并且为single模式

实验拓扑：

拓扑说明：

1/名称说明：

Net云为通EVE-NG模拟器主机桥接的NAT网卡，负责该网络拓扑向外通信；ISP指代为运营商设备，BSW为边界交换机用于透传vlan和扩展接口，ASA为出口防火墙，CSW为核心交换机，ASW为介入交换机，DMZSW为DMZ网关交换机。

2/网段说明：

ISP1:100.100.100.x/30 ISP2:200.200.200.x/30 DMZ PAT地址为100.100.101.x/24 ,核心上联网段为10.10.10.x/24 ,核心下联网段为10.10.20.0/24和10.10.21.0/24，用户端为10.10.30.0/24，DMZ上联网段为172.16.10.0/24 ，服务器网段为172.16.20.0/24

3/关键功能点说明

①出口双线冗余自动切换，采用静态浮动路由的方式(默认ISP1为主)。

②防火墙双击冗余，采用failover Active/Standby 机制(默认ASA-A为主)。

③关键难点，在防火墙配置了AS模式后，主备防火墙配置是一模一样的，包括接口配置/路由配置/ACL/NAT等基础策略，当主防火墙在故障(宕机或者监控接口down )在切换到备墙后上下联设备配置如何自动适应墙的主备切换。上联防火墙通过交换机vlan将2个墙的出口和对应线路的ISP网关组到了一个广播域中，无论是哪台墙工作都可以自动通ISP网关自适应,另外ISP提供的IP是极其有限的，我们不能在上联进行HSRP这样的冗余切换配置，只能是通过二层vlan通ISP网关打通(土豪无所谓)。对于下联我们就可以用HSRP的方式实现通墙切换的联动。注意这里有个小细节因为防火墙上联至二层和ISP 网关打通的所以切换过程中不涉及路由的切换，而下联是通过三层联动，这里会涉及路由的切换，如果同样也在墙中启用了动态路由协议那就不用考虑这个问题，但大多数情况下生产环境墙内是不会去跑路由协议的(墙主要职能是安全规则不是控制路由，静态完全游刃有余，而且清晰明了)。从核心层到用户网关层之间我们启用OSFP,核心到上联使用静态路由，所以这里上联的静态路由也需要加track,否则即使防火墙从A切换到B核心层上来的路由依旧会在CSW-1，然后再转发到CSW-2，在CSW-1静态路由中加入track ，引入OSPF时不添加always 参数，当ASA-A异常切换到ASA-B时，CSW-1中的track被触发，静态路由消失，CSW-1的OSPF中就不会向下发布默认路由，而CSW-2中的静态路由和CSW-1中的时一样的加track和相同的OSPF路由引入配置，这样就不会存在墙且到备以后，路由的横向折返，直接有主防火墙下联交换机下发默认路由，下联交换机直接转发数据包到对于的下一条。

二.设备核心配置

所有设备配置中均不包含二层/三层安全及调优/管理配置

ISP

interface Ethernet0/0

ip address dhcp

interface Ethernet0/1

ip address 100.100.100.2 255.255.255.252

interface Ethernet0/2

ip address 200.200.200.2 255.255.255.252

ip route 100.100.101.0 255.255.255.0 100.100.100.1

ip route 200.200.201.0 255.255.255.0 200.200.200.1

//以上配置为ISP中配置，路由为DMZ中做PAT pool的public IP