Cisco ASA 5585 with firepower configuration for cluster 基本配置

苏泽湛

　　hostname NGFW-unit1  ###配置主机名
　　hostname NGFW-unit2
　　NGFW-unit1:     配置cluster
　　interface Gi 0/7     ###配置cluster 通信端口，思科文档说作为集群后，cluster端口最为重要，因为这是不同节点用于同步所有信息的关键通道，所以你的业务口总带宽如果是8g，那么你的cluster端口总带宽最好也是8g，最开始就设计好省得出问题。
　　channel-group 48 mode on   ###文档上是on（这个好像不用协商协议），不明白为啥不是active，最后发现貌似cisco设备间同步，例如cluster control和nesux 的 keepalive 都是portchannel on 模式，设备间跑数据都是port channel active
　　no shut
　　interface Gi 1/7
　　channel-group 48 mode on
　　no shut
　　cluster interface-mode spanned check-details    ###启用cisco推荐的cluster模式 span（本例做法为官方推荐，即除mgt为individual模式，其余全部为span（尽可能发挥优势，简单，够猛），mgt做individual是为了管理全覆盖，（如果mgt做span那么每次看到到是master，而slave得用console登，管理不方便了就）
　　cluster group admin   ###cluster组名字为admin
　　key admin  ###密钥为admin
　　local-unit unit1 ###本节点为unit1
　　cluster-interface port-channel 48 ip 172.16.1.17 255.255.255.0 ###本节点地址为
　　priority 1 ###本届点优先级为1  越小越高
　　enable noconfirm
　　mtu cluster 9000  ###仅改变cluster mtu 为了最佳性能 9000为官方推荐
　　interface port-channel 48
　　no shutdown
　　NGFW-unit2:
　　interface Gi 0/7
　　channel-group 48 mode on
　　no shut
　　interface Gi 1/7
　　channel-group 48 mode on
　　no shut
　　cluster interface-mode spanned check-details
　　cluster group admin
　　key admin
　　local-unit unit2
　　cluster-interface port-channel 48 ip 172.16.1.18 255.255.255.0
　　priority 2
　　enable noconfirm
　　mtu cluster 9000
　　interface port-channel 48
　　no shutdown
　　集群配置后即可，进行以下配置，无论你在哪个unit上配置，都会自动同步到其他主机上，无论你在哪个unit 都只显示master的名字，识别你究竟是那个slave，你可以show cluster info看到你的节点名字，和其他节点名字
　　!
　　interface GigabitEthernet0/0   ###进入端口0/0
　　channel-group 8 mode active   ###加入port channel8
　　des  service
　　no shut
　　!
　　interface GigabitEthernet0/1
　　channel-group 1 mode active
　　des sc
　　no shut
　　!
　　interface GigabitEthernet0/2
　　channel-group 2 mode active
　　des oa
　　no shut
　　!
　　interface GigabitEthernet0/3
　　channel-group 3 mode active
　　des chief
　　no shut
　　!
　　interface GigabitEthernet0/4
　　channel-group 4 mode active
　　des zd
　　no shut
　　!
　　interface GigabitEthernet0/5
　　channel-group 5 mode active
　　des tdb
　　no shut
　　!
　　interface GigabitEthernet0/6
　　channel-group 6 mode active
　　des lxlf
　　no shut
　　!
　　!
　　ip local pool mgt-pool 192.168.224.17-192.168.224.20  ###配置管理pool 管理为individual模式，这种模式应用于管理，比span的优点在于，individual能管理每个节点，而span只能管理为主的节点，individual要求mgt端口一定得management only启用
　　interface Management0/0
　　management-only   ###仅用于管理，意味着这里不能转发别的端口来的数据，本端口数据也不能去别的端口，很严格的，都必须是这样的。
　　nameif mgt
　　security-level 0
　　ip address 192.168.224.16 255.255.255.0 cluster-pool mgt-pool  ###16为虚地址，17为分配的实地址，18为分配给备的实地址
　　no shut
　　interface GigabitEthernet1/0
　　channel-group 16 mode active
　　des vpdn
　　no shut
　　interface GigabitEthernet1/1
　　channel-group 9 mode active
　　des dhdp
　　no shut
　　interface GigabitEthernet1/2
　　channel-group 10 mode active
　　des move
　　no shut
　　！
　　interface Port-channel48
　　description Clustering Interface
　　interface Port-channel8   ###进入port channel8
　　port-channel span-cluster  ###port channel模式为span  配置portchannel 为span-cluster意味着启用clacp，启用集群lacp协议，即在不同的物理asa上能用port channel（有点像nexus的vpc啊）
　　nameif service   ###必须起名字，删除的时候也要删除名字，才能删除别的
　　security-level 50  ###安全等级为50 自己设置的 为了全通，我设置所有相同安全等级，然后用same-security permit inter，即能在不用acl的情况下实现全通，否则按照cisco高低安全级的规则，必须配置acl否则低到高不通。
　　这样做也是为了以后的firepower做准备，这种新一代防火墙很奇特，是双层墙，第一层为asa，第二层为firepower，别人的双层墙（juniper以后这种模式貌似较多，偏向软的防火墙），如checkpoint，第一层就是一个系统，控制端口地址和路由啥的，第二次纯软件控制策略，
　　可是cisco的这个第一层asa也能acl控制策略（这也许和cisco产品整合有关，毕竟asa是cisco原有的，firepower是收购的，性能很强，但整合需要时间，以后的cisco防火墙就叫firepower，第一层asa也不用写acl，全靠firepower），
　　尽量使用简单高效的办法，如果你asa 和fire都用acl 效率低 排错差，策略要配置两次，若冲突不易发现，建议asa只配端口路由，其余交给万能的firepower，即把acl做了，也把ips 防病毒，网络扫描，用户认证(AD ISE)全做了，这个另说
　　ip address 192.168.1.193 255.255.255.248
　　mac-address 0008.0008.0008  ###cisco强烈推荐自己设置虚拟地址，不然老报这个cluster group wahahaWARNING: Strongly recommend to configure a virtual MAC address for each span-cluster port-channel interface or all subinterfaces of it in order to achieve best stability of span-cluster port-channel during unit join/leave.###你的两台节点mac ip 都是一模一样的，这样万一挂了一个的话，也许不用重新学习，丢一个包继续保持。。。
　　no shut
　　!
　　interface Port-channel1
　　port-channel span-cluster
　　nameif sc
　　security-level 50
　　ip address 192.168.1.177 255.255.255.248
　　mac-address 0001.0001.0001
　　no shut
　　!
　　interface Port-channel2
　　port-channel span-cluster
　　nameif oa
　　security-level 50
　　ip address 192.168.1.161 255.255.255.248
　　mac-address 0002.0002.0002
　　no shut
　　!
　　interface Port-channel3
　　port-channel span-cluster
　　nameif chief
　　security-level 50
　　ip address 192.168.1.225 255.255.255.248
　　mac-address 0003.0003.0003
　　no shut
　　!
　　interface Port-channel4
　　port-channel span-cluster
　　nameif zd
　　security-level 50
　　ip address 192.168.1.145 255.255.255.248
　　mac-address 0004.0004.0004
　　no shut
　　!
　　interface Port-channel5
　　port-channel span-cluster
　　nameif tdb
　　security-level 50
　　ip address 192.168.1.153 255.255.255.248
　　mac-address 0005.0005.0005
　　no shut
　　!
　　interface Port-channel6
　　port-channel span-cluster
　　nameif lxlf
　　security-level 50
　　ip address 192.168.1.217 255.255.255.248
　　mac-address 0006.0006.0006
　　no shut
　　!
　　interface Port-channel16
　　port-channel span-cluster
　　nameif vpdn
　　security-level 50
　　ip address 192.168.1.233 255.255.255.248
　　mac-address 0010.0010.0010
　　no shut
　　interface Port-channel9
　　port-channel span-cluster
　　nameif dhdp
　　security-level 50
　　ip address x.x.x.x 255.255.255.248
　　mac-address 0009.0009.0009
　　no shut
　　interface Port-channel10
　　port-channel span-cluster
　　nameif move
　　security-level 50
　　ip address 192.168.1.201 255.255.255.248
　　mac-address 000A.000A.000A
　　no shut
　　boot system disk0:/asa962-7-smp-k8.bin  ###设置system启动
　　asdm image disk0:/asdm-762-150.bin   ###设置asdm启动
　　ssh 192.168.0.0 255.255.0.0 mgt   ###设置准许ssh登陆的地址段
　　ssh timeout 5   ###设置超时
　　ssh version 2   ###设置ssh 版本为v2
　　Crypto key generate rsa ###回车后 默认 1024 bit即可
　　aaa authentication ssh console LOCAL   ###设置登陆认证为本地，如果你没有ise，没有aaa认证，那么这个你必须配置，否则无法用ssh登陆，telnet不推荐，
　　http server enable  ###启用asdm
　　http 192.168.0.0 255.255.0.0 mgt   ###准许asdm登陆的地址段
　　username admin password shuangwaiwai privilege 15  ###设置用户名密码权值为最高
　　!
　　class-map inspection_default
　　match default-inspection-traffic
　　!
　　policy-map global_policy
　　class inspection_default
　　inspect icmp     ###监控icmp   asa禁止ping，所以早期配置的时候发现怎么都ping不同，高到低不同，低到高不同，同等级不同，我擦，最后才发现是这个原因。。。开启这个吧，以后拍错用，及时开启，
　　!
　　route mgt 192.168.0.0 255.255.0.0 192.168.224.1   ###写路由
　　route chief 192.168.224.0 255.255.248.0 192.168.1.226
　　same-security permit inter   ###配置同等级间全通