个人总结的ASA多模式配置注意点

network

个人总结的ASA多模式配置注意点


ASA 5505不支持context mode
路由context mode可以共享接口
透明context mode不可以共享物理接口（可以通过子接口来实现），而且不同的VFW都必须在不同的子网内


多模式不支持如下feature
1,VPN
2,组播
3,动态路由协议

原理
相当于把一个硬件的防火墙虚拟成很多虚拟的防火墙，每个VFW都拥有独立的配置，接口以，安全策略以及标准防火墙的选项，系统全局配置主要是系统全局创建VFW并把接口和VFW关联起来，但是在系统全局配置中使没有任何网络相关的设置，没有IP，所以就需要一个admin VFW，用它的路由功能来为全局系统配置提供服务，可以利用它来和AAA通信以及让用户可以telnet到这台ASA来且换到其他VFW上来配置，也可以基于admin VFW作为跳板来管理其他VFW
注意！！！admin VFW可以用来传流量
admin-context VFW名字 －－－只有telnet到这个名字的VFW上，才可以切换到系统以及切还道其他VFW上

什么时候需要用到VFW
1，IDC里用到，一个物理防火墙为很多公司提供服务
2，大的企业为他的部门或者分支提供不同的安全策略
3，遇到重叠的网段，可以通过不同的VFW来处理

什么情况下公司内部需要共享物理接口
1，当所有VFW要和AAA通信时可以在内部共享一个连接AAA的物理接口，但是此时AAA不能上网

两大类配置
系统全局配置－－－物理防火墙有一个全局的系统配置文件，它的作用就是为每个VFW设置基本配置。例如创建VFW以及把物理接口和VFW进行关联
VFW独立配置－－－每个VFW都有自己的配置文件

包分类（如何把数据给适当的VFW来处理）
1，基于源接口或者SVI子接口（当从某个和VFW绑定的接口进来的流量，必定给这个VFW来处理）
2，（共享接口）基于目的地址（这个目的地址指的是VFW共享物理接口里的VFW虚拟接口地址，虽然物理MAC是一样的，但是IP不同，可以分给相应的VFW处理）
3，（共享接口）唯一的mac地址（默认所有context共享物理口的MAC，现在通过命令可以使每个context interface拥有自己独立的MAC来分类）
注意！！！（共享接口）基于目的的时候会出现问题，比如，如果inside的物理接口共享给了2个VFW，当从这个接口收到目的是公网IP的流量时，由于从同一接口以及目的IP不是VFW的inside接口IP地址（虽然网关是正确的VFW接口IP，但是最终用的是物理接口的MAC），所以不知道把这个数据交给哪个VFW，就会丢包

解决共享接口，目的非接口地址不通问题的方法
在需要处理这个流量的VFW里配置
1，做目的IP的static的转换（有目的IP的NAT转换表的VFW处理该数据）  作用：告诉ASA，目的是这个IP的交给这台VFW处理
2，global (收到数据的接口) ID 目的IP 作用：告诉ASA，目的是这个IP的交给这台VFW处理
3，system的全局下（mac-adress auto）－－－不同的context不再共享物理接口mac，开始单独自动为每个context interface创建mac用来去分流量（强烈建议这种方法）
其中ID随便
注意！！！共享接口不是划子接口，共享物理接口的时候不同VFW的接口需要在同一网段内，子接口是当物理接口来看的（）

用地址池的话，inside到outside方向，返回流的目的IP虽然不是static，但是还是有动态创建的nat表，还是可以通的


当你从single mode且还到multiple mode时，会产生2个新的配置文件，一个是新的系统配置文件，一个是admin配置文件，原来的配置文件会成old.running.cfg
注意！！！  .cfg需要存盘才会出现
注意！！！配置完后需要为system，不同的VFW分别存盘