思科ASA防火墙综合配置指南（集群+双线路+策略路由+IP SLA+NAT+SNMP）

文档说明

• 适用设备：Cisco ASA 5515（硬件参数：8192 MB RAM，CPU Clarkdale 3058 MHz，1 CPU 4核）

• ASA系统版本：9.5(2)

• 核心功能：集群部署、双ISP线路冗余、策略路由、IP SLA链路检测、NAT地址转换、SNMP设备监控

• 文档用途：提供分步配置命令及解释，便于运维人员部署或参考

一、基础配置（全局初始化）

1.1 系统基础信息配置

配置命令	命令解释
hostname ASA	设置防火墙主机名（便于设备识别）
enable password pDkFgU8keHnDPjQR encrypted	配置enable特权模式加密密码
passwd pDkFgU8keHnDPjQR encrypted	配置控制台登录加密密码
clock timezone UTC 8	设置时区为UTC+8（中国标准时间）
logging enable	启用日志功能
logging timestamp	日志添加时间戳
logging buffer-size 115200	设置日志缓冲区大小为115200字节
logging buffered informational	缓冲区日志级别设为“信息级”（记录关键操作及状态）
pager lines 24	控制台分页显示行数为24行
aaa authentication ssh console LOCAL	SSH登录认证方式为本地用户认证
username admin password VAM00M3KvXKBqXxE encrypted	创建本地管理员用户admin（加密密码）
ssh stricthostkeycheck	启用SSH严格主机密钥检查
ssh timeout 5	SSH连接超时时间设为5分钟
ssh key-exchange group dh-group1-sha1	SSH密钥交换算法组为dh-group1-sha1
console timeout 0	控制台登录永不超时（运维场景优化）

1.2 全局参数优化

配置命令	命令解释
xlate per-session deny tcp any4 any4	禁用TCP IPv4之间的逐会话地址转换（优化性能）
xlate per-session deny tcp any4 any6	禁用TCP IPv4到IPv6的逐会话转换
xlate per-session deny tcp any6 any4	禁用TCP IPv6到IPv4的逐会话转换
xlate per-session deny tcp any6 any6	禁用TCP IPv6之间的逐会话转换
xlate per-session deny udp any4 any4 eq domain	禁用UDP DNS（53端口）IPv4之间的逐会话转换
xlate per-session deny udp any4 any6 eq domain	禁用UDP DNS IPv4到IPv6的逐会话转换
xlate per-session deny udp any6 any4 eq domain	禁用UDP DNS IPv6到IPv4的逐会话转换
xlate per-session deny udp any6 any6 eq domain	禁用UDP DNS IPv6之间的逐会话转换
mtu management 1500	管理接口MTU设为1500字节（默认以太网MTU）
mtu inside 1500	内网接口MTU设为1500字节
mtu ISP1 1500	ISP1接口MTU设为1500字节
mtu ISP2 1500	ISP2接口MTU设为1500字节
mtu cluster 9000	集群接口MTU设为9000字节（Jumbo帧，优化集群通信）
arp timeout 14400	ARP缓存超时时间设为4小时（14400秒）
no arp permit-nonconnected	禁止非直连网络的ARP响应（增强安全性）

二、接口配置（含链路聚合）

2.1 物理接口配置

配置命令	命令解释
interface GigabitEthernet0/0	进入千兆以太网接口0/0（连接ISP1）
description TO ISP1	接口描述：连接ISP1线路
channel-group 10 mode active	加入通道组10，LACP模式为主动协商
no nameif	暂不配置逻辑接口名（后续通过端口通道统一配置）
no security-level	暂不配置安全级别
no ip address	暂不配置IP地址（端口通道统一配置）
exit	退出接口配置模式
interface GigabitEthernet0/1	进入千兆以太网接口0/1（连接ISP2）
description TO ISP2	接口描述：连接ISP2线路
channel-group 11 mode active	加入通道组11，LACP模式为主动协商
no nameif	暂不配置逻辑接口名
no security-level	暂不配置安全级别
no ip address	暂不配置IP地址
exit	退出接口配置模式
interface GigabitEthernet0/2	进入千兆以太网接口0/2（连接内网）
description TO INSIDE	接口描述：连接内网
channel-group 2 mode active	加入通道组2，LACP模式为主动协商
no nameif	暂不配置逻辑接口名
no security-level	暂不配置安全级别
no ip address	暂不配置IP地址
exit	退出接口配置模式
interface GigabitEthernet0/3	进入千兆以太网接口0/3
shutdown	关闭该接口（未使用）
no nameif	暂不配置逻辑接口名
no security-level	暂不配置安全级别
no ip address	暂不配置IP地址
exit	退出接口配置模式
interface GigabitEthernet0/4	进入千兆以太网接口0/4
shutdown	关闭该接口（未使用）
no nameif	暂不配置逻辑接口名
no security-level	暂不配置安全级别
no ip address	暂不配置IP地址
exit	退出接口配置模式
interface GigabitEthernet0/5	进入千兆以太网接口0/5（集群专用接口）
description Clustering Interface	接口描述：集群通信接口
exit	退出接口配置模式
interface Management0/0	进入管理接口0/0
management-only	仅用于管理，不转发业务流量
nameif management	配置逻辑接口名为management
security-level 100	安全级别设为100（最高，信任区域）
ip address 10.167.3.1 255.255.255.0 cluster-pool hkpccwidc-mgmt-pool	配置管理IP：10.167.3.1/24，关联集群管理地址池

2.2 端口通道（链路聚合）配置

配置命令	命令解释
interface Port-channel2	进入端口通道2（内网聚合接口）
description TO INSIDE	描述：内网聚合链路
lacp max-bundle 8	LACP最大聚合端口数为8（支持扩展）
port-channel span-cluster	允许集群跨端口通道转发流量（集群模式必备）
mac-address 70e4.2285.eb02	配置端口通道MAC地址（固定，避免漂移）
nameif inside	逻辑接口名为inside（内网区域）
security-level 100	安全级别100（信任区域）
ip address 10.167.2.253 255.255.255.0	配置内网聚合接口IP：10.167.2.253/24
policy-route route-map GO_WTT	应用策略路由：调用route-map GO_WTT
exit	退出接口配置模式
interface Port-channel10	进入端口通道10（ISP1聚合接口）
description TO ISP1	描述：ISP1聚合链路
lacp max-bundle 8	LACP最大聚合端口数为8
port-channel span-cluster	允许集群跨端口通道转发流量
mac-address 70e4.2285.eb10	配置固定MAC地址
nameif ISP1	逻辑接口名为ISP1（外网区域）
security-level 0	安全级别0（非信任区域）
ip address 205.177.199.18 255.255.255.240	配置ISP1接口IP：205.177.199.18/28
exit	退出接口配置模式
interface Port-channel11	进入端口通道11（ISP2聚合接口）
description TO ISP2	描述：ISP2聚合链路
lacp max-bundle 8	LACP最大聚合端口数为8
port-channel span-cluster	允许集群跨端口通道转发流量
mac-address 70e4.2285.eb11	配置固定MAC地址
nameif ISP2	逻辑接口名为ISP2（外网区域）
security-level 0	安全级别0（非信任区域）
ip address 101.78.133.2 255.255.255.240	配置ISP2接口IP：101.78.133.2/28
exit	退出接口配置模式

三、集群配置（高可用）

配置命令	命令解释
cluster group hkpccwidc	创建集群组，名称为hkpccwidc
key *****	集群通信密钥（实际部署时替换为强密钥）
local-unit unit1	本地集群单元名称为unit1
cluster-interface GigabitEthernet0/5 ip 100.1.1.1 255.255.255.0	指定集群接口为GigabitEthernet0/5，配置集群IP：100.1.1.1/24
priority 1	集群优先级为1（数值越小优先级越高，主设备优先级）
health-check holdtime 3	健康检查保持时间3秒（超时未响应则判定故障）
health-check data-interface auto-rejoin 3 5 2	数据接口自动重加入配置：最多3次重连，间隔5秒，每次超时2秒
health-check cluster-interface auto-rejoin unlimited 5 1	集群接口自动重加入：无限次重连，间隔5秒，每次超时1秒
clacp system-mac auto system-priority 1	集群LACP系统MAC自动生成，系统优先级1（LACP协商优先级）
enable	启用集群功能
exit	退出集群配置模式
ip local pool hkpccwidc-mgmt-pool 10.167.3.2-10.167.3.10 mask 255.255.255.0	创建集群管理地址池：10.167.3.2-10.167.3.10/24（供集群节点管理IP分配）

四、IP SLA与链路跟踪（双线路冗余）

4.1 IP SLA监控配置

配置命令	命令解释
sla monitor 1	创建IP SLA监控实例1（监控ISP1链路）
type echo protocol ipIcmpEcho 205.177.199.17 interface ISP1	监控类型：ICMP回声（ping），目标地址为ISP1网关205.177.199.17，通过ISP1接口发送
frequency 5	监控频率：每5秒发送一次ping包
exit	退出SLA监控配置
sla monitor schedule 1 life forever start-time now	调度SLA实例1：永久运行，立即启动
sla monitor 2	创建IP SLA监控实例2（监控ISP2链路）
type echo protocol ipIcmpEcho 101.78.133.2 interface ISP2	监控类型：ICMP回声，目标地址为ISP2网关101.78.133.2，通过ISP2接口发送
frequency 5	监控频率：每5秒发送一次ping包
exit	退出SLA监控配置
sla monitor schedule 2 life forever start-time now	调度SLA实例2：永久运行，立即启动

4.2 跟踪对象配置

配置命令	命令解释
track 1 rtr 1 reachability	创建跟踪对象1：关联SLA实例1，跟踪目标可达性
track 2 rtr 2 reachability	创建跟踪对象2：关联SLA实例2，跟踪目标可达性

4.3 双线路静态路由配置

配置命令	命令解释
route ISP1 0.0.0.0 0.0.0.0 205.177.199.17 1 track 1	配置默认路由：通过ISP1接口，下一跳205.177.199.17，管理距离1（优先级最高），关联跟踪对象1（ISP1链路正常时生效）
route ISP2 8.8.4.4 255.255.255.255 101.78.133.2 1 track 2	配置主机路由：访问8.8.4.4（谷歌DNS）通过ISP2接口，下一跳101.78.133.2，管理距离1，关联跟踪对象2
route ISP2 0.0.0.0 0.0.0.0 101.78.133.2 10	配置备用默认路由：通过ISP2接口，下一跳101.78.133.2，管理距离10（优先级低于ISP1路由，ISP1故障时生效）
route management 10.0.0.0 255.0.0.0 10.167.3.254 1	管理区域路由：访问10.0.0.0/8网段，下一跳10.167.3.254，管理距离1
route inside 10.167.0.0 255.255.0.0 10.167.2.254 1	内网路由：访问10.167.0.0/16网段，下一跳10.167.2.254，管理距离1
route inside 10.168.0.0 255.255.0.0 10.167.2.254 1	内网路由：访问10.168.0.0/16网段，下一跳10.167.2.254，管理距离1
route management 172.16.0.0 255.255.0.0 10.167.3.254 1	管理区域路由：访问172.16.0.0/16网段，下一跳10.167.3.254，管理距离1
route management 192.168.0.0 255.255.0.0 10.167.3.254 1	管理区域路由：访问192.168.0.0/16网段，下一跳10.167.3.254，管理距离1
route inside 192.168.0.0 255.255.0.0 10.167.2.254 1	内网路由：访问192.168.0.0/16网段，下一跳10.167.2.254，管理距离1

五、策略路由配置（定向转发）

配置命令	命令解释
access-list GO_WTT extended permit ip host 10.167.11.133 any	创建ACL GO_WTT：允许主机10.167.11.133访问任意网络（策略路由匹配条件）
access-list GO_WTT extended permit ip host 10.167.11.134 any	允许主机10.167.11.134访问任意网络
access-list GO_WTT extended permit ip host 10.167.11.135 any	允许主机10.167.11.135访问任意网络
access-list GO_WTT extended permit ip host 10.167.11.136 any	允许主机10.167.11.136访问任意网络
access-list GO_WTT extended permit ip host 10.167.11.248 any	允许主机10.167.11.248访问任意网络
route-map GO_WTT permit 10	创建route-map GO_WTT，序列10（允许匹配流量）
match ip address GO_WTT	匹配条件：符合ACL GO_WTT的流量
set ip next-hop verify-availability 101.78.133.2 1 track 2	转发动作：下一跳设为101.78.133.2（ISP2网关），验证可用性，最多1个下一跳，关联跟踪对象2（ISP2链路正常时生效）
exit	退出route-map配置模式
interface Port-channel2	进入内网聚合接口（Port-channel2）
policy-route route-map GO_WTT	应用策略路由：对该接口入站流量执行route-map GO_WTT
exit	退出接口配置模式

六、NAT配置（地址转换）

配置命令	命令解释
object network inside_11	创建网络对象inside_11（定义内网网段）
subnet 10.167.11.0 255.255.255.0	配置对象网段：10.167.11.0/24
exit	退出对象配置模式
object network inside_11	进入网络对象inside_11
nat (inside,ISP1) dynamic interface	配置动态NAT：内网（inside）到ISP1接口的流量，动态转换为ISP1接口IP（上网场景）
nat (inside,ISP1) static interface service tcp 8080 8080	配置静态NAT：内网8080端口映射到ISP1接口8080端口（外网访问内网服务）
exit	退出对象配置模式
object network inside_11w	创建网络对象inside_11w（扩展内网网段NAT）
nat (inside,ISP2) dynamic interface	配置动态NAT：内网（inside）到ISP2接口的流量，动态转换为ISP2接口IP（备用线路上网）
exit	退出对象配置模式

七、SNMP配置（设备监控）

配置命令	命令解释
snmp-server host ISP1 103.29.22.1 community ***** udp-port 65002	配置SNMP服务器：允许103.29.22.1（NMS监控主机）通过ISP1接口访问，社区字符串为*****（替换为实际社区字符串），UDP端口65002
snmp-server community *****	配置SNMP只读社区字符串（与上一致，用于认证）
snmp-server listen-port 65002	设置SNMP监听端口为65002（与NMS端口一致）
no snmp-server location	不配置设备物理位置（可根据需求添加，如snmp-server location 机房A）
no snmp-server contact	不配置联系人信息（可根据需求添加，如snmp-server contact admin@company.com）

八、访问控制列表（ACL）配置

配置命令	命令解释
access-list 110 extended permit ip any any	创建ACL 110：允许所有IP流量（宽松策略，生产环境需按需收紧）
access-group 110 in interface ISP1	应用ACL 110到ISP1接口入站方向：允许外网流量进入（需根据安全需求优化）
access-group 110 in interface ISP2	应用ACL 110到ISP2接口入站方向：允许外网流量进入

九、默认检测策略配置（安全检测）

配置命令	命令解释
class-map inspection_default	创建类映射inspection_default
match default-inspection-traffic	匹配默认检测流量（系统预定义的常用协议流量）
exit	退出类映射配置模式
policy-map type inspect dns preset_dns_map	创建DNS检测策略映射preset_dns_map
parameters	进入参数配置模式
message-length maximum client auto	客户端DNS消息长度自动适配
message-length maximum 512	DNS消息最大长度限制为512字节（防止DNS放大攻击）
exit	退出DNS策略配置模式
policy-map global_policy	创建全局策略映射global_policy
class inspection_default	关联类映射inspection_default
inspect ftp	检测FTP协议（防御FTP漏洞攻击）
inspect ip-options	检测IP选项（防止IP选项滥用攻击）
inspect netbios	检测NetBIOS协议
inspect rsh	检测RSH协议
inspect esmtp	检测ESMTP协议（邮件协议安全检测）
inspect sqlnet	检测SQLNet协议（Oracle数据库协议）
inspect sunrpc	检测SunRPC协议
inspect tftp	检测TFTP协议
inspect sip	检测SIP协议（VOIP协议）
inspect xdmcp	检测XDMCP协议
inspect dns preset_dns_map	应用DNS检测策略preset_dns_map
exit	退出全局策略配置模式
service-policy global_policy global	应用全局策略到所有接口

十、配置验证命令（部署后检查）

验证命令	命令作用
show run	查看完整运行配置（确认所有命令已生效）
show ip int brief	查看接口IP摘要信息（确认接口状态、IP配置）
show cluster info	查看集群状态（确认集群节点、接口、健康状态）
show track	查看跟踪对象状态（确认IP SLA监控结果）
show sla monitor statistics	查看IP SLA监控统计（确认链路丢包、延迟）
show route	查看路由表（确认默认路由、策略路由生效）
show nat translation	查看NAT转换表（确认NAT生效）
show snmp-server	查看SNMP配置（确认SNMP参数正确）
show access-list	查看ACL配置及命中计数（确认ACL生效）

十一、注意事项

1. 安全优化：生产环境中需收紧ACL策略，避免permit ip any any，仅开放必要端口和网段；SNMP社区字符串需使用强密码，避免明文传输（建议升级SNMPv3）。

2. 集群部署：集群节点需使用相同硬件型号、ASA版本，集群接口需直连或通过二层网络互联，避免跨路由。

3. 链路冗余：IP SLA监控目标建议选择ISP网关或公网可靠IP（如8.8.8.8），确保链路检测准确性；管理距离配置需合理，避免路由冲突。

4. 备份配置：配置完成后执行write memory保存配置，定期备份运行配置文件。

5. 版本兼容：本配置基于ASA 9.5(2)，不同版本命令可能存在差异，需根据实际版本调整。

6. 性能监控：定期查看接口流量、CPU/内存使用率（show resource usage），确保链路聚合、集群功能正常发挥性能。

思科ASA防火墙综合配置指南

（集群+双线路+策略路由+IP SLA+NAT+SNMP）

文档基础信息

项目	详情
适用设备	Cisco ASA 5515（8192 MB RAM，CPU Clarkdale 3058 MHz，1 CPU 4核）
ASA系统版本	9.5(2)
核心功能覆盖	集群高可用、双ISP线路冗余、策略路由定向转发、IP SLA链路检测、NAT地址转换、SNMP设备监控
文档用途	分步配置指导、运维参考手册

---

一、基础配置（全局初始化）

1.1 系统核心参数配置

配置命令	命令解释
hostname ASA	设置防火墙主机名（便于设备识别与管理）
enable password pDkFgU8keHnDPjQR encrypted	配置enable特权模式加密密码（替换为实际密码）
passwd pDkFgU8keHnDPjQR encrypted	配置控制台登录加密密码（与特权密码一致，统一管理）
clock timezone UTC 8	设定时区为UTC+8（中国标准时间）
logging enable	启用日志功能（故障排查与安全审计必备）
logging timestamp	日志添加时间戳（便于定位事件发生时间）
logging buffer-size 115200	日志缓冲区大小设为115200字节（存储更多日志）
logging buffered informational	缓冲区日志级别：信息级（记录关键操作与状态）
pager lines 24	控制台分页显示行数：24行（适配常规终端）
aaa authentication ssh console LOCAL	SSH登录认证方式：本地用户认证（增强安全性）
username admin password VAM00M3KvXKBqXxE encrypted	创建本地管理员用户（用户名admin，加密密码）
ssh stricthostkeycheck	启用SSH严格主机密钥检查（防止中间人攻击）
ssh timeout 5	SSH连接超时时间：5分钟（闲置自动断开）
ssh key-exchange group dh-group1-sha1	SSH密钥交换算法组：dh-group1-sha1（兼容常规客户端）
console timeout 0	控制台登录永不超时（运维场景优化，避免频繁重登）

1.2 全局性能与安全优化

配置命令	命令解释
xlate per-session deny tcp any4 any4	禁用TCP IPv4间逐会话转换（减少连接开销，优化性能）
xlate per-session deny tcp any4 any6	禁用TCP IPv4→IPv6逐会话转换
xlate per-session deny tcp any6 any4	禁用TCP IPv6→IPv4逐会话转换
xlate per-session deny tcp any6 any6	禁用TCP IPv6间逐会话转换
xlate per-session deny udp any4 any4 eq domain	禁用UDP DNS（53端口）IPv4间逐会话转换
xlate per-session deny udp any4 any6 eq domain	禁用UDP DNS IPv4→IPv6逐会话转换
xlate per-session deny udp any6 any4 eq domain	禁用UDP DNS IPv6→IPv4逐会话转换
xlate per-session deny udp any6 any6 eq domain	禁用UDP DNS IPv6间逐会话转换
mtu management 1500	管理接口MTU：1500字节（默认以太网MTU，适配常规网络）
mtu inside 1500	内网接口MTU：1500字节
mtu ISP1 1500	ISP1接口MTU：1500字节
mtu ISP2 1500	ISP2接口MTU：1500字节
mtu cluster 9000	集群接口MTU：9000字节（Jumbo帧，提升集群通信效率）
arp timeout 14400	ARP缓存超时：4小时（14400秒，减少ARP广播开销）
no arp permit-nonconnected	禁止非直连网络ARP响应（防止ARP欺骗，增强安全性）

---

二、接口配置（含链路聚合）

2.1 物理接口基础配置

2.1.1 外网接口（连接ISP）

interface GigabitEthernet0/0  // 连接ISP1的物理接口
 description TO ISP1          // 接口用途描述
 channel-group 10 mode active // 加入通道组10，LACP主动协商模式
 no nameif                    // 暂不配置逻辑名（端口通道统一配置）
 no security-level            // 暂不配置安全级别
 no ip address                // 暂不配置IP（端口通道统一分配）
exit

interface GigabitEthernet0/1  // 连接ISP2的物理接口
 description TO ISP2          // 接口用途描述
 channel-group 11 mode active // 加入通道组11，LACP主动协商模式
 no nameif                    // 暂不配置逻辑名
 no security-level            // 暂不配置安全级别
 no ip address                // 暂不配置IP
exit

2.1.2 内网与集群接口

interface GigabitEthernet0/2  // 连接内网的物理接口
 description TO INSIDE        // 接口用途描述
 channel-group 2 mode active  // 加入通道组2，LACP主动协商模式
 no nameif                    // 暂不配置逻辑名
 no security-level            // 暂不配置安全级别
 no ip address                // 暂不配置IP
exit

interface GigabitEthernet0/3  // 未使用物理接口
 shutdown                     // 关闭接口（节省资源，增强安全）
 no nameif
 no security-level
 no ip address
exit

interface GigabitEthernet0/4  // 未使用物理接口
 shutdown                     // 关闭接口
 no nameif
 no security-level
 no ip address
exit

interface GigabitEthernet0/5  // 集群专用物理接口
 description Clustering Interface // 接口用途描述
exit

interface Management0/0       // 设备管理接口
 management-only              // 仅用于管理，不转发业务流量
 nameif management            // 逻辑接口名：management
 security-level 100           // 安全级别：100（最高信任区域）
 ip address 10.167.3.1 255.255.255.0 cluster-pool hkpccwidc-mgmt-pool
 // 管理IP：10.167.3.1/24，关联集群管理地址池（分配节点管理IP）
exit

2.2 端口通道（链路聚合）配置

2.2.1 内网聚合接口（Port-channel2）

interface Port-channel2
 description TO INSIDE        // 聚合链路用途：连接内网
 lacp max-bundle 8            // LACP最大聚合端口数：8（支持后续扩展）
 port-channel span-cluster    // 允许集群跨端口通道转发（集群模式必需）
 mac-address 70e4.2285.eb02   // 固定聚合接口MAC（避免MAC漂移）
 nameif inside                // 逻辑接口名：inside（内网区域）
 security-level 100           // 安全级别：100（信任区域）
 ip address 10.167.2.253 255.255.255.0 // 内网聚合IP：10.167.2.253/24
 policy-route route-map GO_WTT // 应用策略路由：调用GO_WTT规则
exit

2.2.2 ISP1聚合接口（Port-channel10）

interface Port-channel10
 description TO ISP1          // 聚合链路用途：连接ISP1
 lacp max-bundle 8            // LACP最大聚合端口数：8
 port-channel span-cluster    // 允许集群跨端口通道转发
 mac-address 70e4.2285.eb10   // 固定聚合接口MAC
 nameif ISP1                  // 逻辑接口名：ISP1（外网区域）
 security-level 0             // 安全级别：0（非信任区域）
 ip address 205.177.199.18 255.255.255.240 // ISP1聚合IP：205.177.199.18/28
exit

2.2.3 ISP2聚合接口（Port-channel11）

interface Port-channel11
 description TO ISP2          // 聚合链路用途：连接ISP2
 lacp max-bundle 8            // LACP最大聚合端口数：8
 port-channel span-cluster    // 允许集群跨端口通道转发
 mac-address 70e4.2285.eb11   // 固定聚合接口MAC
 nameif ISP2                  // 逻辑接口名：ISP2（外网区域）
 security-level 0             // 安全级别：0（非信任区域）
 ip address 101.78.133.2 255.255.255.240 // ISP2聚合IP：101.78.133.2/28
exit

---

三、集群配置（高可用部署）

ip local pool hkpccwidc-mgmt-pool 10.167.3.2-10.167.3.10 mask 255.255.255.0
// 创建集群管理地址池：10.167.3.2-10.167.3.10/24（分配给集群节点）

cluster group hkpccwidc       // 创建集群组，名称：hkpccwidc
 key *****                    // 集群通信密钥（替换为强密码，如P@ssw0rd!）
 local-unit unit1             // 本地节点名称：unit1
 cluster-interface GigabitEthernet0/5 ip 100.1.1.1 255.255.255.0
 // 集群接口：GigabitEthernet0/5，集群IP：100.1.1.1/24（节点间通信）
 priority 1                   // 集群优先级：1（数值越小优先级越高，为主节点）
 health-check holdtime 3      // 健康检查保持时间：3秒（超时判定故障）
 health-check data-interface auto-rejoin 3 5 2
 // 数据接口自动重连：最多3次，间隔5秒，单次超时2秒
 health-check cluster-interface auto-rejoin unlimited 5 1
 // 集群接口自动重连：无限次，间隔5秒，单次超时1秒
 clacp system-mac auto system-priority 1
 // 集群LACP系统MAC：自动生成，系统优先级1（LACP协商优先级）
 enable                       // 启用集群功能
exit

---

四、IP SLA与链路跟踪（双线路冗余）

4.1 IP SLA链路监控配置

// 监控ISP1链路（实例1）
sla monitor 1
 type echo protocol ipIcmpEcho 205.177.199.17 interface ISP1
 // 监控类型：ICMP回声（ping），目标：ISP1网关205.177.199.17，出接口：ISP1
 frequency 5                  // 监控频率：5秒/次（实时检测链路状态）
exit
sla monitor schedule 1 life forever start-time now
// 调度监控：永久运行，立即启动

// 监控ISP2链路（实例2）
sla monitor 2
 type echo protocol ipIcmpEcho 101.78.133.2 interface ISP2
 // 监控类型：ICMP回声，目标：ISP2网关101.78.133.2，出接口：ISP2
 frequency 5                  // 监控频率：5秒/次
exit
sla monitor schedule 2 life forever start-time now
// 调度监控：永久运行，立即启动

4.2 跟踪对象配置（关联IP SLA）

track 1 rtr 1 reachability    // 跟踪对象1：关联SLA实例1，监控链路可达性
track 2 rtr 2 reachability    // 跟踪对象2：关联SLA实例2，监控链路可达性

4.3 双线路静态路由配置（基于跟踪的冗余）

// 主默认路由（ISP1，优先级最高）
route ISP1 0.0.0.0 0.0.0.0 205.177.199.17 1 track 1
// 出接口：ISP1，下一跳：ISP1网关，管理距离1（最高优先级），关联跟踪1（ISP1正常时生效）

// 特定主机路由（ISP2，谷歌DNS）
route ISP2 8.8.4.4 255.255.255.255 101.78.133.2 1 track 2
// 目标：8.8.4.4（谷歌DNS），出接口：ISP2，下一跳：ISP2网关，管理距离1，关联跟踪2

// 备用默认路由（ISP2，优先级较低）
route ISP2 0.0.0.0 0.0.0.0 101.78.133.2 10
// 出接口：ISP2，下一跳：ISP2网关，管理距离10（ISP1故障时自动切换）

// 管理区域路由（访问内网管理网段）
route management 10.0.0.0 255.0.0.0 10.167.3.254 1
route management 172.16.0.0 255.255.0.0 10.167.3.254 1
route management 192.168.0.0 255.255.0.0 10.167.3.254 1

// 内网业务路由（访问内网业务网段）
route inside 10.167.0.0 255.255.0.0 10.167.2.254 1
route inside 10.168.0.0 255.255.0.0 10.167.2.254 1
route inside 192.168.0.0 255.255.0.0 10.167.2.254 1

---

五、策略路由配置（定向转发）

5.1 访问控制列表（ACL）定义匹配流量

access-list GO_WTT extended permit ip host 10.167.11.133 any
access-list GO_WTT extended permit ip host 10.167.11.134 any
access-list GO_WTT extended permit ip host 10.167.11.135 any
access-list GO_WTT extended permit ip host 10.167.11.136 any
access-list GO_WTT extended permit ip host 10.167.11.248 any
// 定义策略路由匹配流量：5台内网主机（133/134/135/136/248）的所有出站流量

5.2 Route-map定义转发规则

route-map GO_WTT permit 10
 match ip address GO_WTT      // 匹配ACL GO_WTT定义的流量
 set ip next-hop verify-availability 101.78.133.2 1 track 2
 // 转发动作：下一跳=ISP2网关101.78.133.2，验证可用性，关联跟踪2（ISP2正常时生效）
exit

5.3 应用策略路由到接口

interface Port-channel2       // 进入内网聚合接口
 policy-route route-map GO_WTT // 应用策略路由：对该接口入站流量执行GO_WTT规则
exit

---

六、NAT配置（地址转换）

6.1 动态NAT（内网访问外网）

object network inside_11      // 创建网络对象：定义内网网段
 subnet 10.167.11.0 255.255.255.0 // 网段：10.167.11.0/24
exit

object network inside_11
 nat (inside,ISP1) dynamic interface
 // 动态NAT：inside→ISP1，内网IP转换为ISP1接口IP（主线路上网）
exit

object network inside_11w
 nat (inside,ISP2) dynamic interface
 // 动态NAT：inside→ISP2，内网IP转换为ISP2接口IP（备用线路上网）
exit

6.2 静态NAT（外网访问内网服务）

object network inside_11
 nat (inside,ISP1) static interface service tcp 8080 8080
 // 静态NAT：内网8080端口→ISP1接口8080端口（外网访问内网8080服务）
exit

---

七、SNMP配置（设备监控）

snmp-server host ISP1 103.29.22.1 community ***** udp-port 65002
// 允许NMS监控主机（103.29.22.1）通过ISP1接口访问，社区字符串=*****，UDP端口=65002

snmp-server community *****    // SNMP只读社区字符串（与上一致，认证用）
snmp-server listen-port 65002  // SNMP监听端口：65002（与NMS端口一致）
no snmp-server location        // 不配置设备物理位置（可选：snmp-server location 机房A）
no snmp-server contact         // 不配置联系人（可选：snmp-server contact admin@xxx.com）

---

八、访问控制列表（ACL）配置

access-list 110 extended permit ip any any
// 宽松ACL：允许所有IP流量（生产环境需优化，仅开放必要端口/网段，如80/443）

access-group 110 in interface ISP1
// 应用ACL到ISP1接口入站：允许外网流量进入（需按需收紧）
access-group 110 in interface ISP2
// 应用ACL到ISP2接口入站：允许外网流量进入（需按需收紧）

---

九、默认安全检测策略配置

// 类映射：匹配默认检测流量
class-map inspection_default
 match default-inspection-traffic
exit

// DNS检测策略：限制消息长度
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto // 客户端DNS消息长度自动适配
  message-length maximum 512        // DNS消息最大长度512字节（防DNS放大攻击）
exit

// 全局检测策略：启用常用协议检测
policy-map global_policy
 class inspection_default
  inspect ftp         // 检测FTP协议
  inspect ip-options  // 检测IP选项（防攻击）
  inspect netbios     // 检测NetBIOS协议
  inspect rsh         // 检测RSH协议
  inspect esmtp       // 检测ESMTP协议（邮件安全）
  inspect sqlnet      // 检测SQLNet协议（Oracle数据库）
  inspect sunrpc      // 检测SunRPC协议
  inspect tftp        // 检测TFTP协议
  inspect sip         // 检测SIP协议（VOIP）
  inspect xdmcp       // 检测XDMCP协议
  inspect dns preset_dns_map // 应用DNS检测策略
exit

// 应用全局策略到所有接口
service-policy global_policy global

---

十、配置验证命令（部署后检查）

验证命令	作用说明
show run	查看完整运行配置（确认所有命令生效）
show ip int brief	查看接口IP摘要（状态、IP、掩码）
show cluster info	查看集群状态（节点、接口、健康度）
show track	查看跟踪对象状态（链路可达性）
show sla monitor statistics	查看IP SLA统计（丢包、延迟）
show route	查看路由表（确认路由生效）
show nat translation	查看NAT转换表（确认NAT生效）
show snmp-server	查看SNMP配置（确认监控参数）
show access-list	查看ACL配置及命中计数（确认ACL生效）

---

十一、注意事项

1. 安全加固：

   • 生产环境需替换默认密码（enable、SNMP社区字符串），使用强密码（字母+数字+特殊字符）。

   • ACL需收紧，避免permit ip any any，仅开放必要端口（如80/443/22）和信任网段。

   • 建议升级SNMPv3（替代SNMPv2c），启用认证和加密，避免社区字符串泄露。

2. 集群部署：

   • 集群节点需硬件型号、ASA版本一致，集群接口需直连或二层互联（避免跨路由）。

   • 健康检查参数可根据实际网络调整（如holdtime、auto-rejoin次数）。

3. 链路冗余：

   • IP SLA监控目标建议选择ISP网关或公网可靠IP（如8.8.8.8/1.1.1.1），确保检测准确性。

   • 管理距离配置需合理（主路由<备用路由），避免路由冲突。

4. 配置备份：

   • 配置完成后执行write memory（或copy running-config startup-config）保存配置。

   • 定期备份配置文件（通过TFTP/FTP导出），避免配置丢失。

5. 版本兼容：

   • 本配置基于ASA 9.5(2)，不同版本命令可能存在差异（如SLA命令在新版本为ip sla而非sla monitor），需根据实际版本调整。

6. 性能监控：

   • 定期执行show resource usage查看CPU/内存使用率，show interface查看接口流量，确保设备运行正常。