IBA
数据
中心
部署
指南
服务器机房部署指南
智能业务平台IBA
2012年8月系列
前言
本指南的目标受众
如何阅读命令
Cisco®智能业务平台(IBA)指南主要面向承担以下职务的读者:
•需 要撰写思科IBA实施项目工作说明书的项目经理
许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着Cisco
IOS、 Cisco NX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统。下
面描述了系 统命令的指定规则,您需要按照这些规则来输入命令：
•需 要销售新技术或撰写实施文档的销售合作伙伴
在CLI中输入的命令如下所示:
•需 要用标准程序来实施方案时的系统工程师
•需 要课堂讲授或在职培训材料的培训人员
一般来说,您也可以将思科IBA指南作为增加工程师和项目实施统一性的指导文
件,或利用它更好地规划项目成本预算和项目工作范围。
版本系列
思科将定期对IBA指南进行更新和修订。在开发新的思科IBA指南系列时,我们将
会对 其进行整体评测。为确保思科IBA指南中各个设计之间的兼容性,您应当使
用同一系列 中的设计指南文档。
每一个系列的Release Notes（版本说明）提供了增加和更改内容的总结。
所有思科IBA指南的封面和每页的左下角均标有指南系列的名称。我们以某系列
指南发 布时的年份和月份来对该系列命名,如下所示:
年 月 系列
configure terminal
为某个变量指定一个值的命令如下所示:
ntp server 10.10.48.17
包含您必须定义的变量的命令如下所示:
class-map [highest class name]
以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示:
Router# enable
包含自动换行的长命令以下划线表示。应将其作为一个命令进行输入:
wrr-queue random-detect max-threshold 1 100 100 100 100 100
100 100 100
系统输出或设备配置文件中值得注意的部分以高亮方式显示,如下所示:
interface Vlan64
ip address 10.5.204.5 255.255.255.0
例如,我们把于2011年8月发布的系列指南命名为：
“2012年8月系列”
问题和评论
您可以在以下网址查看最新的IBA指南系列:
如果您需要评论一个指南或者提出问题，请使用 IBA反馈表。
http://www.cisco.com/go/cn/iba
2012年8月系列
如果您希望在出现新评论时获得通知,我们可以发送RSS信息。
前言
目录
服务器机房部署指南. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
业务概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cisco Catalyst 3750-X交换机堆叠. . . . . . . . . . . . . . . . . . . . . . . . . 42
Cisco ASA 5500-X防火墙—主用 . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Cisco ASA 5500-X IPS—主用. . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Cisco ASA 5500-X防火墙—备用 . . . . . . . . . . . . . . . . . . . . . . . . . . 53
技术概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cisco ASA 5500-X IPS—备用. . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
服务器机房以太网局域网. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
附录 C: 变更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
业务概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
技术概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
部署详情. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
配置服务器机房以太网局域网 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
服务器机房安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
业务概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
技术概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
部署详情. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
为服务器机房配置防火墙连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
配置服务器机房防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
配置防火墙高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
评估和部署防火墙安全策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
部署防火墙入侵防御系统(IPS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
附录A: 产品列表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
附录B: 配置示例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2012年8月系列
目录
本IBA指南的内容
关于本指南
关于IBA数据中心
思科IBA能帮助您设计和快速部署一个全服务企业网络。IBA系统是一种规范式
设计，即购即用，而且具备出色的可扩展性和灵活性。
思科IBA在一个综合的解决方案中集成了局域网、广域网、无线、安全、数据
中心、应用优化和统一通信技术，并对其进行了严格测试，确保能实现无缝协
作。IBA采用的模块化分类简化了多技术系统集成的复杂度，使您能够根据需要
解决企业需求，而无需担心技术复杂性。
思科IBA数据中心是一个综合的设计，涵盖从机房到数据中心，250到10,000个
连接用户的数据中心网络。本设计集成了计算资源、安全、应用永续性以及虚拟
化。
本部署指南包括一个或多个部署章节，其中包含如下内容：
•业 务概述——描述本设计的商业用例，业务决策者可通过本章内容来了解解
决方案与企业运营的相关性。
•技 术概述——描述该商业用例的技术设计，包含思科产品如何应对业务挑
战。技术决策者可利用本章节理解该设计如何实现。
•部 署详情——提供解决方案的逐步实施和配置的指导。系统工程师可以在这
些步骤的指导下快速和可靠的设计和部署网络。
您可以在以下网址查看最新的IBA指南系列:
http://www.cisco.com/go/cn/iba
成功部署路线图
为确保您能够按照本指南中的设计成功完成部署，您应当阅读本指南所依据的所
有相关指南——即如下路线中本指南之前的所有指南。
预备知识
您在这里
以本指南为依据的指南
数据中心
数据中心设计概览
2012年8月系列
服务器机房部署指南
额外的部署指南
本IBA指南的内容
4
简介
本指南旨在为发展中的企业提供其首个正式基础平台，以便在安全、永续的环境
中集中多达24台物理服务器。本指南还可以为大型企业的地区站点或国内站点
提供服务器机房部署。本指南是一份基于《思科IBA智能业务平台——无边界网
络局域网部署指南》的说明性设计，因此您可以针对服务器机房中进出IP子网的
路由流量，使用思科IBA智能业务平台局域网分布层的第三层服务。 思科IBA智能业务平台是一份面向拥有多达10,000名用户的网络的综合性设计。
这一即购即用的设计简单、快捷、经济，并具有出色的可扩展性和灵活性。
思科IBA智能业务平台系列在一个综合解决方案中集成了局域网、广域网、无线、
安全、广域网优化和统一通信技术，并对其进行了严格测试，确保能够实现无缝
协作。思科IBA服务器机房是更大型的思科IBA设计的一部分，采用了与思科IBA
局域网设计相同的设备、流程和程序，为服务器机房中的服务器和设备提供无缝
的服务扩展。
《服务器机房部署指南》包括以下章节：
•“ 服务器机房以太网局域网”部分阐述的是如何配置交换机上的服务器端
口、VLAN使用情况和中继(trunking)、永续性以及到局域网分布层或紧缩
局域网核心层的连接。
•“ 服务器机房安全”部分主要介绍防火墙和入侵防御系统(IPS)的部署，以便
有效保护企业的信息资产。
•“ 附录”部分提供了本设计实验室测试中所用产品的完整列表，系统中产品所
用的软件版本，相比上次发布本指南所做变更的总结，以及所有产品的配置
示例。
服务器负载均衡是许多服务器机房部署的一个组成部分，可增强应用永续性，平
衡任意一台服务器所处理的流量和计算负载，以及将服务器处理任务卸载到专用
硬件上。《思科IBA智能业务平台数据中心——高级服务器负载均衡部署指南》是
一份独立指南，可通过轻松改编来连接本指南中部署的服务器机房。
随着企业从服务器机房扩展到拥有许多应用服务器和大型存储环境的数据中心，
《思科IBA智能业务平台——数据中心部署指南》提供了平稳的升级方法。
图1说明了适合应用思科IBA智能业务平台服务器机房的典型场景。
2012年8月系列
简介
5
图 1 - 典型的思科IBA智能业务平台服务器机房部署场景
分支机构
总部
服务器
服务器
机房防火墙
堆叠交换机
堆叠交换机
Cisco ACE
WAN
无线LAN
控制器
路由器
分布层
交换机
客户
接入
交换机
无线LAN
控制器
WAN路由器
分布层
交换机
Internet
防火墙
局域网
机房
Cisco ACE
互联网边界
防火墙
紧缩的
LAN核心
客户
接入
交换机
局域网接入
2012年8月系列
简介
6
3022
机房
机房
防火墙
业务概述
《思科IBA智能业务平台——数据中心服务器机房部署指南》旨在解决企业的以下
五大需要：
•提 供对于企业资源的可靠访问
•为规模较小的企业提供主用的服务器机房
•为规模较大的企业提供远程站点服务器机房设计，以服务于大型办事处或地
区机构
•保 护企业的重要数据
•降 低运营开支
对于企业资源的可靠访问
数据网络对于保持企业的运营和竞争能力至关重要。只有数据网络能够提供可靠
的信息资源访问能力，员工在线支持工具才能发挥优势。协作工具和内容分发也
依赖于高速、低延迟的网络基础设施来提供有效的用户体验。电子邮件、薪资系
统、资源规划系统乃至打印服务对于企业的正常运营必不可少。但是，随着网络
日益复杂，因为设计不足、配置错误、维护和升级停运，或是软硬件故障而导致网
络不可用或性能不佳的风险也在逐渐加大。本部署指南中所用的设计和方法能够
最大限度地减少这些威胁。
面向小型企业的主用服务器机房
企业通常采取的IT做法是，将应用服务器放置在办公桌下，或是和交换机一起放
在机柜中。此外还可能有一些存储磁带堆放在机柜上，用于专门备份。随着企业
不断发展及其对于数据的依赖性日益增长，他们为关键应用提供更稳定环境的需
求也在与日俱增。无论是因为害怕网络中断降低生产率，还是担心数据丢失会影
响公司的决策，或是迫于法规遵从性的压力，IT人员或部门都必须构建一个能更
好满足其需求的环境。
而服务器机房则代表着企业迈向专业IT环境的第一步。例如，IT环境具有可控的
散热和电源，有两到三个机架来安放应用服务器，相关的网络连接，以及一个小型
备份系统。
面向地区办事处的远程站点服务器机房
许多企业都拥有包括数百名员工的远程站点，并且需要本地处理能力来进行通信
2012年8月系列
服务、文件共享和低延迟信息访问。企业在进行全球业务拓展的过程中，通常会
需要位于异国的地区办事处来着重处理地理和业务要求。这些远程站点通常需要
支持其本地服务器的IT环境，以便为所采用的应用提供出色的可用性和安全性。
《服务器机房部署指南》为以安全、永续的方式容纳这些应用提供了一个基础平
台。
保护企业的重要数据
鉴于当今世界上的通信和商务活动越来越依赖于互联网，网络安全很快就成为了
成长型企业的一个主要顾虑。通常来说，企业的安全保护范围始于其互联网边缘
连接，并将其内部网络视为一个可信的实体。但是，互联网防火墙只是构成网络
基础设施安全的一个组件而已。
实际上，对于企业数据的威胁常常来自于内部网络。这些威胁可能来自于进入企
业办公现场的供应商、受到感染的员工笔记本电脑，或者是已遭到入侵、可能被
用来当作攻击平台的服务器。由于企业一般是在数据中心内集中存储最为重要的
数据，所以在完整的数据中心架构计划中，安全不再是可选组件，而是必备组成部
分。
思科IBA智能业务平台服务器机房设计说明了如何出色地集成网络安全功能，如
防火墙和入侵防御等，以保护网络中的关键服务器资源和存储资源。该架构能够
灵活地保护数据中心的特定部分，或者根据企业的安全策略，在多层应用之间插
入防火墙功能。
降低运营开支
企业始终都在寻找机会，以期在不影响最终用户网络使用体验的同时，降低网络
运营开支。运营开支不仅包括物理成本（电费、冷却成本等），而且包括负责监控
和维护网络的IT部门的人力成本。另外，网络中断和性能问题会导致生产率损失
以及业务连续性被破坏，从而使成本更难以估量。 通过可靠的网络将IT服务器
集中到一个可控的环境中，可以降低意外和长时间的中断风险，避免用户无法访
问应用的情况出现。
本部署指南中提供的网络具备永续性，能够容忍部分网络故障或停运的现象。另
外，本文中还提供了简单但足够强大的设计，以帮助员工在发生网络中断时运行、
排障和恢复正常的网络服务。
技术概述
本指南中的章节描述了一个能够支持跨企业通信的设计。本部分介绍了适用于您
需要部署的网络组件或服务的架构指南。
简介
7
服务器机房以太网局域网
服务器机房交换机为负责向网络中的各种设备提供网络和用户服务的服务器与
设备提供网络连接。服务器机房设计提供了以下两个产品系列供选择：Cisco
Catalyst 3750-X系列和Cisco Catalyst 3560-X系列交换机。Cisco
Catalyst 3750-X提供了灵活的端口密度和10 Mb至1 Gb以太网的服务器端
口连接速度。借助Cisco 3750-X堆叠，您可以利用EtherChannel中的冗余千
兆位或万兆位以太网链路将服务器双归属到服务器机房，并将服务器机房双归属
到局域网分布层，从而实现容错性。Cisco 3750-X可通过Cisco StackWise
Plus进行堆叠，从而实现平台永续性。Cisco StackWise Plus允许服务器机房
以太网交换机的控制平面驻留在任意一台3750-X交换机上，并在发生故障时及
时进行切换。3750-X交换机上的Cisco StackPower能够在每个机箱的多个
电源间分担电力负荷，由此实现多样性和永续性。Cisco Catalyst 3560-X交
换机为以太网局域网交换机永续性并非最优先需求的应用提供了一个低成本选
择。
外形中提供了数千兆位防火墙功能和入侵防御或入侵检测服务。Cisco ASA
5500-X系列与ASA 5500系列运行相同的基础防火墙和IPS软件，这使得现有
的ASA客户能够轻松进行升级和获得运营支持。 专用IPS硬件加速增加了检测应用层数据的能力，并能够根据数据包的内容或发
送者的声誉拦截恶意流量，而没有额外的硬件要求。
图 3 - 安全的服务器机房，带有防火墙和IPS保护的VLAN
Cisco ASA 5500-X
带IPS
Internet
局域网/广域网
开放的VLANs
分布层
交换机
3013
服务器
3014
图 2 - 服务器机房设计的永续性
堆叠
交换机
服务器机房和客户端局域网接入方法均能够将设备连接至网络；两种方法的区别
在于改变了交换机型号，以满足局域网接入层对于以太网供电(PoE)的要求。虽
然支持PoE的设备在服务器机房中并不常见，但使用支持PoE的交换机将能够带
来优势，这是因为：使用非PoE交换机的微弱初始成本节省可能比不上在本地局
域网的多个模块中使用同一交换机的优势。尽管局域网接入交换机和服务器机
房交换机之间存在配置差异，但在多个模块中使用单个交换机类型将能够降低运
营成本，更便于获得备件和进行管理，以及随着企业的发展重复利用设备。
服务器机房安全
本设计中，在包括和提升安全性方面，有许多要求，也有许多机遇。在总部，还有
一个保护企业信息资产的安全层。这些设备对于潜在威胁起直接和间接防御作
用。服务器机房安全边界内的首款产品是Cisco ASA 5500-X系列中档自适
应安全设备(ASA)。Cisco ASA 5500-X是下一代多功能设备，在紧凑的1RU
2012年8月系列
安全的VLANs
通过使用入侵检测系统(IDS)，能够实现间接安全保护。这是一种监控威胁的被
动方法。在发现威胁后，就采取防御措施。Cisco IPS允许您的企业持续监控指
向受保护VLAN的网络流量，及时发现潜在威胁。当检测到威胁时，系统向相应
的监控资源发送告警，同时工程或操作人员采取措施解决问题。IPS服务还可以
在IPS模式下以内嵌的方式部署，以便充分利用入侵防御功能，在恶意流量抵达
目的地之前将其阻止。由于能够配置为以IDS模式还是IPS模式运行，所以在满足
特定安全策略方面提供了最高灵活性。
服务器负载均衡
应用性能和可用性会直接影响员工的生产效率，以及企业的盈利能力。随着企业
业务运营的全球化，解决应用可用性和性能问题对于确保业务流程和目标的顺利
实现日益重要。
服务器负载均衡器（SLB）将负载在各个服务器间分担，来提高服务器对客户请
求的响应性，提高应用响应性和可用性，从而提高那些依赖网络应用来开展业务
的企业的生产率。
思科应用控制引擎(ACE)是思科最新的SLB产品，用于第四层至第七层交换，还
提供了TCP进程卸载、安全套接字层(SSL)卸载，压缩，以及各种其他加速技术。
简介
8
当您的服务器机房中需要服务器负责均衡功能时，我们推荐采用Cisco ACE
4710设备的思科IBA智能业务平台设计。请参考《思科IBA智能业务平台——数
据中心高级服务器负载均衡部署指南》，了解有关为服务器机房部署服务器负载均
衡功能的详细信息。
2012年8月系列
简介
9
图 4 - 带有EtherChannel上行链路的Cisco Catalyst 3750-X服务器机房交换机
服务器
业务概述
员工的工作效率取决于能否快速、高效地访问工作所需的应用和服务。一致、可
靠地访问用于支持驱动企业正常运营的应用的服务器，对于确保客户满意度和整
个企业的成功至关重要。不管用于支持业务应用的服务器是位于总部、建筑站点
还是远程站点，当关键应用驻留在这些服务器时，您都需要一个永续的网络来保
证信息和服务访问。
思科IBA智能业务平台充分肯定了服务器机房设施及其在整体企业职能中的重要
性。本设计采用了一个小型永续、可扩展的以太网局域网基础平台，来将应用服务
器与位于企业网络其他地点的用户相连。随着企业从服务器机房扩展到拥有许多
应用服务器和大型存储环境的数据中心，
《思科IBA智能业务平台——数据中心部
署指南》提供了平稳的升级方法。
技术概述
在思科IBA智能业务平台中，服务器机房能够安放多达24个物理服务器，可以
为企业运营提供基本的计算能力。本设计采用了Cisco Catalyst 3560-X独
立交换机和Cisco Catalyst 3750-X系列可堆叠以太网局域网交换机，支持
10/100/1000，能提供多种服务器以太网接口速度。
Cisco Catalyst 3750-X系列的Cisco StackWise Plus功能为服务器机房
环境提供了一个永续高速背板，并能以双归属方式将服务器连接到服务器机房
局域网，以提高永续性。鉴于堆叠中有两个交换机，并通过双归属方式连接到了
服务器与局域网核心层交换机，从而使您的服务器机房消除了单故障点。堆叠中
的Catalyst 3750-X交换机在主交换机发生故障时，能够自动进行控制平面切
换。Catalyst 3750-X系列交换机的双电源选项和Cisco StackPower进一步
增强了服务器机房设计的永续性。Cisco Catalyst 3560-X不能提供与Cisco
Catalyst 3750-X相同的永续性，但非常适用于单一连接的服务器和不太关键
的系统。
2012年8月系列
堆叠
交换机
分布层
交换机
Gigabit EtherChannel
或者
10 Gigabit EtherChannel
3015
服务器机房以太网局域网
在思科IBA智能业务平台设计中，服务器机房交换机通过EtherChannel连接到
核心层，以便两个千兆以太网端口结合起来提供一个2GB以太网通道。如果需要
更多带宽，可以将从服务器群到核心层的链路数量增加至4或8个来获得更高的
带宽；或者，如果您需要非常高的带宽，您可以使用万兆以太网链路将相应的核
心层交换机端口连接至服务器机房交换机中安装的上行链路模块的万兆端口。
部署详情
本节内容包括了配置服务器机房以太网局域网连接所需的流程步骤。当您查看《
服务器机房部署指南》时，您会发现表1非常有用，其中列出了本部署中所用的IP
编址和VLAN分配信息。 您的IP编址和VLAN编号设计要求可能会有所不同。
表 1 - 部署指南编址
VLAN
IP地址范围
用途
148
10.8.48.x /24
Server VLAN #1
149
10.8.49.x /24
Server VLAN #2
115
10.8.15.x /25
来自局域网核心层的管理VLAN
服务器机房以太网局域网
10
流程
配置服务器机房以太网局域网
1、配置全局QoS设置
2、配置交换机全局设置
3、应用交换机全局配置
4、配置服务器机房上行链路端口
5、配置服务器访问端口
6、配置局域网分布层下行链路
以下程序旨在配置用于服务器机房以太网局域网的独立Cisco Catalyst
3560-X服务器机房交换机或包含两个Catalyst 3750-X交换机的堆叠。
程序 1

配置全局QoS设置
步骤 1: 由于本设备上可能没有配置AutoQoS，所以请输入以下命令，手动配置
全局服务质量(QoS)设置。为了简化QoS的一致部署，本程序定义了一个宏，供您
在后续程序中应用平台特定的QoS配置时使用。
mls qos map policed-dscp 0 10 18 to 8
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue input bandwidth 70 30
mls qos srr-queue input threshold 1 80 90
mls qos srr-queue input priority-queue 2 bandwidth 30
mls qos srr-queue input cos-map queue 1 threshold 2 3
mls qos srr-queue input cos-map queue 1 threshold 3 6 7
mls qos srr-queue input cos-map queue 2 threshold 1 4
mls qos srr-queue input dscp-map queue 1 threshold 2 24
mls qos srr-queue input dscp-map queue 1 threshold 3 48 49 50
51 52 53 54 55
2012年8月系列
mls qos srr-queue
59 60 61 62 63
mls qos srr-queue
41 42 43 44 45
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
mls qos srr-queue
41 42 43 44 45
mls qos srr-queue
mls qos srr-queue
19 20 21 22 23
mls qos srr-queue
29 30 31 34 35
mls qos srr-queue
39
mls qos srr-queue
mls qos srr-queue
51 52 53 54 55
mls qos srr-queue
59 60 61 62 63
mls qos srr-queue
4 5 6 7
mls qos srr-queue
13 15
mls qos srr-queue
mls qos queue-set
mls qos queue-set
mls qos queue-set
mls qos queue-set
mls qos queue-set
mls qos
!
input dscp-map queue 1 threshold 3 56 57 58
input dscp-map queue 2 threshold 3 32 33 40
input dscp-map queue 2 threshold 3 46 47
output cos-map queue 1 threshold 3 4 5
output cos-map queue 2 threshold 1 2
output cos-map queue 2 threshold 2 3
output cos-map queue 2 threshold 3 6 7
output cos-map queue 3 threshold 3 0
output cos-map queue 4 threshold 3 1
output dscp-map queue 1 threshold 3 32 33 40
output dscp-map queue 1 threshold 3 46 47
output dscp-map queue 2 threshold 1 16 17 18
output dscp-map queue 2 threshold 1 26 27 28
output dscp-map queue 2 threshold 1 36 37 38
output dscp-map queue 2 threshold 2 24
output dscp-map queue 2 threshold 3 48 49 50
output dscp-map queue 2 threshold 3 56 57 58
output dscp-map queue 3 threshold 3 0 1 2 3
output dscp-map queue 4 threshold 1 8 9 11
output
output
output
output
output
output
dscp-map queue 4 threshold 2 10 12 14
1 threshold 1 100 100 50 200
1 threshold 2 125 125 100 400
1 threshold 3 100 100 100 3200
1 threshold 4 60 150 50 200
1 buffers 15 25 40 20
服务器机房以太网局域网
11
macro name EgressQoS
mls qos trust dscp
queue-set 1
srr-queue bandwidth share 1 30 35 5
priority-queue out
@
程序 2

配置交换机全局设置
此程序所配置的系统设置能够简化并保护交换机的管理。示例中所提供的值和
设置将取决于您当前的网络配置。
表 2 - 部署中使用的通用网络服务示例
服务
地址
域名
cisco.local
Active Directory、域名系
统(DNS)、动态主机配置协议
(DHCP)服务器
10.8.48.10
思科访问控制系统(ACS)服务器
10.8.48.15
网络时间协议(NTP)服务器
10.8.48.17
步骤 1: 配置设备主机名称，以便轻松识别设备。
hostname [hostname]
步骤 2: 配置VLAN中继协议(VTP)透明模式。因为替代模式——跨网络动态
传播VLAN信息的优势不足以抵消由于操作错误所带来的意外行为风险，所以本
部署使用了VTP透明模式。
VTP允许网络管理员在网络中的某个地点配置VLAN，并将此配置动态传播到其
它网络设备。然而，在大多数情况下，VLAN只在交换机设置期间定义一次，之后
几乎不进行修改。
vtp mode transparent
步骤 3: 启用快速每VLAN生成树(PVST+)。快速PVST+提供了每VLAN快速
生成树协议(802.1w)的实例。与传统的生成树(802.1D)相比，快速PVST+大大
提高了检测间接故障或链接恢复事件的能力。
虽然此架构没有任何第二层环路，您仍必须启用生成树。通过启用生成树，您能
2012年8月系列
够确保如果意外配置了任何物理或逻辑环路，在实际拓扑中也不会出现第二层环
路。
spanning-tree mode rapid-pvst
步骤 4: 启用单向链路检测协议(UDLD)。
UDLD是一个第二层协议，使通过光纤或双绞线以太网电缆相连的设备能够监控
电缆的物理配置，并检测是否存在单向链路。当UDLD发现单向链路时，它会禁
用受影响的接口并向您报警。单向链路会导致一系列问题的发生，包括生成树环
路、黑洞和其他不确定性数据包转发等。此外，UDLD能更快检测出链路故障，并
支持接口中继的快速重新收敛，特别是采用易于发生单向故障的光纤电缆时更是
如此。
udld enable
步骤 5: 将EtherChannel配置为在计算通过哪条链路发送流量时使用流量源
和目的地IP地址。这样可以规范EtherChannel成员链路间流量负载共享的方
法。在此设计中，我们广泛使用了EtherChannel，因为它们能够提高网络的永
续性。 port-channel load-balance src-dst-ip
步骤 6: 配置DNS进行主机查询。
在Cisco IOS设备的命令行，如果能够输入一个域名而不是目的地IP地址，将会
很有帮助。
ip name-server 10.8.48.10
步骤 7: 配置设备管理协议。
安全HTTP (HTTPS)和安全外壳（SSH）协议是HTTP和Telnet协议的安全替
代品。它们使用SSL和传输层安全(TLS)提供设备身份验证和数据加密功能。
SSH和HTTPS协议支持局域网设备的安全管理。这两种协议均进行了加密以确
保机密性。不安全的协议（Telnet和HTTP）被禁用。
通过在vty行设定transport preferred none命令，可以避免来自于CLI提
示符的错误连接尝试。如果不使用这个命令，那么在无法连接到IP名称服务器
时，错误输入的命令将会导致长时间的延迟。
ip
ip
no
ip
domain-name cisco.local
ssh version 2
ip http server
http secure-server
服务器机房以太网局域网
12
line vty 0 15
transport input ssh
transport preferred none
步骤 8: 启用简单网络管理协议（SNMP），从而允许网络管理系统（NMS）
对网络基础设施设备进行管理。随后再针对只读和读写团体字符串配置
SNMPv2c。
snmp-server community cisco RO
snmp-server community cisco123 RW
步骤 9: 如果在您的网络中，网络运营支持是集中提供的，那么您可以使用访
问列表来限制可以访问您的设备的网络，从而加强网络安全性。在本例中，仅
10.8.48.0/24网络上的设备可以通过SSH或SNMP访问设备。
access-list 55 permit 10.8.48.0 0.0.0.255
line vty 0 15
access-class 55 in
!
snmp-server community cisco RO 55
snmp-server community cisco123 RW 55
注意
如果您在vty接口上设置了一个访问列表，您可能会无法利用SSH从
一台路由器登录到下一台，进行逐跳故障诊断。
步骤 10: 设置本地登录帐号和密码。
本地登录帐户和密码提供基本的设备访问身份验证，以查看平台运行情况。使能
密码(enable password)可保护对于设备配置模式的访问。通过启用密码加密，
您可以防止在浏览配置文件时使用纯文本密码。
username admin password c1sco123
enable secret c1sco123
service password-encryption
aaa new-model
在缺省情况下，对交换机的HTTPS访问使用使能密码进行身份验证。
2012年8月系列
步骤 11: 如果您希望减少每设备的运行任务，可使用TACACS+协议在基础设
施设备上向身份验证、授权和记账(AAA)服务器验证管理登录，从而配置集中式
用户身份验证。
随着网络中需要维护的设备不断增加，在每台设备上维护本地用户帐户的任务也
将不断加重。集中式AAA服务可以减少每台设备的操作任务，并提供用户访问审
核日志，以便进行安全合规检查和根本原因分析。在对访问控制采用AAA时，对
网络基础设施设备的所有管理访问（SSH和HTTPS）都由AAA控制。
TACACS+是在基础设施设备上向AAA服务器验证管理登录所采用的主要协
议。此外，在步骤10中，系统还在每个网络基础设施设备上定义了一个本地AAA
用户数据库，用于在中央TACACS+服务器不可用时，提供备用身份认证源。
tacacs server TACACS-SERVER-1
address ipv4 10.8.48.15
key SecretKey
!
aaa group server tacacs+ TACACS-SERVERS
server name TACACS-SERVER-1
!
aaa authentication login default group TACACS-SERVERS local
aaa authorization exec default group TACACS-SERVERS local
aaa authorization console
ip http authentication aaa
读者提示
本架构中使用的AAA服务器是Cisco ACS。如需了解有关Cisco
ACS配置的详细信息，请参阅《思科IBA智能业务平台——采用ACS
的无边界网络设备管理部署指南》。
步骤 12: 通过将网络设备设定为与网络中的本地NTP服务器进行同步，配置同
步时钟。本地NTP服务器通常会参考来自外部来源的更准确的时钟信息。对控制
台消息、日志和调试报告进行配置，在输出时添加时间戳，从而实现对网络中事
件的交叉参考。
服务器机房以太网局域网
13
程序 3

步骤 1: 配置服务器和管理VLAN。
[vlan number]
Server_VLAN_1
[vlan number]
Server_VLAN_2
[vlan number]
Management
步骤 2: 为交换机配置一个IP地址，以便能够通过带内连接对其进行管理，并分
配IP缺省网关。
interface vlan [management vlan]
ip address [ip address] [mask]
no shutdown
ip default-gateway [default router]
步骤 3: 配置全局性网桥协议数据单元（BPDU）防护。 这样，如果有另一个交
换机插入到了端口中，我们可以通过禁用端口来保护启用了PortFast的接口。
spanning-tree portfast bpduguard default
BPDU防护能防止用户将交换机插入接入端口中，这会导致无法检测出的、灾难
性的生成树环路。
当存在无效的配置（如连接了未经授权的设备）时，启用PortFast的接口会接收
BPDU。BPDU防护功能在启用PortFast的情况下，当接口收到BPDU时，会将
2012年8月系列
图 5 - BPDU防护的防御功能
由于启用了Portfase
生成树不会探测到环路
Cisco IBA
接入层
交换机
用户自行安装的
低端交换机
应用交换机全局配置
在交换机上为服务器需要连接的所有VLAN配置VLAN。配置交换机管理
VLAN，以匹配本服务器机房部署站点所用的思科IBA智能业务平台局域网基础
管理VLAN。
vlan
name
vlan
name
vlan
name
非中继接口置于假死(errdisable)状态，从而防止环路。
2093
ntp server 10.8.48.17
!
clock timezone PST -8
clock summer-time PDT recurring
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
由于错误连接了交换机而导致的环路
示例
vlan 148
name Server_VLAN_1
vlan 149
name Server_VLAN_2
vlan 115
name Management
!
interface vlan 115
ip address 10.8.15.61 255.255.255.128
no shutdown
ip default-gateway 10.8.15.1
程序 4

配置服务器机房上行链路端口
此程序详细介绍了如何将服务器机房交换机连接至分布层或紧缩局域网核心
层。
在配置逻辑端口通道接口前，先配置属于第二层EtherChannel成员的物理接
口。按此顺序进行配置能够最大限度减少所需操作，因为大多数输入端口信道接
口的命令会复制到其成员接口，而无需人工复制。
步骤 1: 配置EtherChannel成员接口。
在两端将链路汇聚控制协议（LACP）协商功能设置为活动状态，以确保形成正
确的EtherChannel。此外，应用在程序1“配置全局QoS设置”中定义的出口
QoS宏，以确保对流量进行正确的优先级划分。
interface [interface type] [port 1]
服务器机房以太网局域网
14
步骤 2: 配置802.1Q中继。
802.1Q中继用于连接此上游设备，以支持上游链路为服务器机房交换机上定义
的所有VLAN提供第三层服务。该中继上所支持的VLAN仅限于服务器机房交换
机上活动的VLAN。当采用EtherChannel时，接口类型为端口通道，编号必须
与在步骤1中配置的通道组相匹配。
interface Port-channel [number]
description EtherChannel Link to Core
switchport trunk encapsulation dot1q
switchport trunk allowed vlan [server vlan 1],[server vlan
2],[management vlan]
switchport mode trunk
logging event link-status
no shutdown
接下来，降低中继(trunk)上VLAN跳跃攻击的远程风险。
虽然可能性很小，但存在着攻击者创建一个双802.1Q封装分组的可能性。如果攻
击者详细了解802.1Q本地VLAN，那么能够创建一个分组，当它交换到无标记
本地VLAN上时，第一个或最外面的标记被删除。当该分组到达目标交换机时，
内部或第二个标记将进行处理，这个有潜在恶意的分组则交换到目标VLAN中。
2012年8月系列
图 6 - VLAN跳跃攻击
802.1Q 中继
VLAN A
VLAN B
接入接口
VLAN B
主机
VLAN B
数据
数据
2097
数据
802.1Q 中继 携带
Native VLAN A
802.1Q 标记
攻击者
802.1Q 标记
description Link to Core port 1
interface [interface type] [port 2]
description Link to Core port 2
interface range [interface type] [port 1], [interface type]
[port 2]
switchport
macro apply EgressQoS
channel-protocol lacp
channel-group 7 mode active
logging event link-status
logging event trunk-status
logging event bundle-status
初看上去，这似乎是一项严重的威胁。但这一攻击中的流量是单向的，该机制不会
交换返回流量。而且，除非攻击者知道本地VLAN ID，否则无法进行此攻击。
步骤 3: 在从服务器机房至分布层的交换机到交换机802.1Q中继链路上配置
未使用的VLAN。使用一个难以猜测、未使用的VLAN作为本机VLAN可以减
少双802.1Q标记分组进行VLAN跳跃攻击的可能性。如果您正在运行推荐的
到局域网接入层交换机的EtherChannel上行链路，请在端口通道接口上配置
switchport trunk native vlan。
vlan 999
!
interface Port-channel [number]
switchport trunk native vlan 999
示例
interface GigabitEthernet1/1/1
description Link to LAN Core 1
interface GigabitEthernet2/1/1
description Link to LAN Core 2
interface range GigabitEthernet 1/1/1, Gi 2/1/1
channel-protocol lacp
channel-group 7 mode active
macro apply EgressQoS
logging event link-status
logging event trunk-status
服务器机房以太网局域网
15
logging event bundle-status
no shutdown
程序 5

配置服务器访问端口
当向交换机上的多个接口应用相同配置时，为简化配置，请使用interface
range命令。您只需发出一次该命令，就能将其同时应用到多个接口。
读者提示
您的服务器或应用可能会需要特殊的配置，如中继或端口通道。请参
考供应商文档了解详细信息。
步骤 4: 保存您已输入的运行配置，以便在您的交换机重启或进行开关机循环时
用作启动配置文件。
copy running-config startup-config
程序 6

配置局域网分布层下行链路
到服务器机房交换机的链路是第二层EtherChannel。将服务器机房
EtherChannel上行链路连接至单独的堆叠成员或分布层交换机中的接口模
块。
图 7 - 支持堆叠成员或交换机刀片多样性的EtherChannel
分布层
交换机
堆叠
交换机
步骤 1: 配置交换机接口来提供基本的服务器连接。
interface range [interface type] [port number]–[port number]
switchport access vlan [server vlan 1]
switchport mode access
gig - 1/1/1
gig - 1/7
gig - 2/1/1
gig - 2/7
EtherChannel
3016
!
interface Port-channel 7
description EtherChannel Link to LAN Core
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 148-149,115
switchport mode trunk
logging event link-status
no shutdown
!
vlan 999
!
interface Port-channel 7
switchport trunk native vlan 999
步骤 2: 通过将交换端口设置为主机模式，缩短端口进入转发状态所需的时
间。
switchport host
步骤 3: 要基于QoS宏配置信任来自服务器的流量的QoS标记，请输入以下命
令。
macro apply EgressQoS
步骤 1: 将VLAN添加至下行链路将承载的核心层交换机的VLAN数据库。 vlan
name
vlan
name
[vlan number]
Server_VLAN_1
[vlan number]
Server_VLAN_2
步骤 2: 配置EtherChannel成员接口。在两端将LACP协商设置为活动，以确
保形成正确的EtherChannel。此外，采用在思科IBA智能业务平台局域网分布
层上配置的出口QoS宏，以确保正确地划分流量优先级。
2012年8月系列
服务器机房以太网局域网
16
interface [interface type] [port 1]
description Link to Server Room port 1
interface [interface type] [port 2]
description Link to Server Room 2
interface range [interface type] [port 1], [interface type]
[port 2]
switchport
macro apply EgressQoS
channel-protocol lacp
channel-group [number] mode active
logging event link-status
logging event trunk-status
logging event bundle-status
步骤 3: 配置中继(trunk)。
802.1Q中继用于连接服务器机房交换机，从而允许上行链路为服务器机房中定
义的所有VLAN提供第三层服务。该中继上所支持的VLAN仅限于服务器机房交
换机上活动的VLAN。当采用EtherChannel时，接口类型为端口通道，编号必
须与在步骤2中配置的通道组相匹配。
interface Port-Channel[number]
description EtherChannel Link to Server Room
switchport trunk allowed vlan [server vlan 1],[server vlan
2],[mgmt vlan]
switchport mode trunk
logging event link-status
no shutdown
技术提示
Cisco Catalyst 3750-X需要switchport trunk
encapsulation dot1q命令。
步骤 4: 为中继(trunk)添加VLAN跳跃攻击抑制。
interface Port-channel [number]
2012年8月系列
switchport trunk native vlan 999
步骤 5: 如果服务器机房的VLAN尚未存在于核心层交换机之上，请为每个服务
器机房VLAN添加一个交换虚拟接口(SVI)，以便这些VLAN可以路由至网络的
其余部分。
如果您正在采用DHCP为服务器机房中的服务器分配IP地址，请使用ip
helper-address命令来允许远程DHCP服务器为此网络提供IP地址。Helper
命令所指向的地址为DHCP服务器，如果您拥有不只一个DHCP服务器，可在接
口上列出多个helper命令。
interface vlan [number]
ip address [ip address] [mask]
ip helper-address [dhcp server ip]
ip pim sparse-mode
no shutdown
示例
vlan 148
name Server_VLAN_1
vlan 149
name Server_VLAN_2
!
interface GigabitEthernet1/7
description Link to Server Room port 1
interface GigabitEthernet2/7
description Link to Server Room port 2
interface range GigabitEthernet 1/7, Gi 2/7
channel-protocol lacp
channel-group 7 mode active
macro apply EgressQoS
logging event link-status
logging event trunk-status
logging event bundle-status
no shutdown
!
interface Port-channel 7
description EtherChannel Link to Server Room
switchport trunk encapsulation dot1q
服务器机房以太网局域网
17
switchport trunk allowed vlan 148-149,115
switchport mode trunk
logging event link-status
no shutdown
!
interface Port-channel 7
switchport trunk native vlan 999
!
interface vlan 148
ip address 10.8.48.1 255.255.255.0
ip pim sparse-mode
no shutdown
interface vlan 149
ip address 10.8.49.1 255.255.255.0
ip pim sparse-mode
no shutdown
2012年8月系列
服务器机房以太网局域网
18
服务器机房安全
况）：
•互 联网
•远 程接入和远程工作人员VPN主机
•远 程办公室/分支机构网络
•业 务合作伙伴连接
业务概述
•园 区网络
当不需要正式的数据中心时，小型企业的服务器机房通常会容纳企业一些最宝贵
的资产。客户和个人记录、财务数据、电子邮件和知识产权等都必须保存在一个安
全环境中，以确保保密性和可用性。此外，在特定行业中，网络的某些部分必须遵
从行业或政府法规，强制实施特定的安全控制措施，以保护客户信息。一些地区
办事处可能需要服务器机房来支持国内的运营，其中保护客户和业务信息的需求
决定了本地安全措施。
为保护服务器机房内的重要电子资产，可通过网络安全手段防止机构遭到自动或
人为的侦听和篡改，并防止主机遭受消耗大量资源的蠕虫、病毒或僵尸网络的破
坏。
虽然蠕虫、病毒及僵尸网络对中央数据造成巨大威胁，尤其是严重危及主机性能
和可用性，但与此同时，还必须防止员工窃取和非法访问服务器上的数据。一直以
来，统计数据都表明，大部分数据丢失和网络破坏的情况都是企业网络内部人为
活动（故意或意外）的结果。
技术概述
为最大限度降低恶意网络入侵的影响，您应该在客户端和中央数据资源之间部署
防火墙及入侵防御系统(IPS)。
图 8 - 部署内嵌(inline)的防火墙以保护数据资源
LAN/WAN
Internet
机房
堆叠交换机
Cisco ASA 5500-X
带有IPS的防火墙
安全的
服务器
3017
分布层
交换机
因为在托管服务器机房资源的受保护VLAN外部，处处都可能存在威胁，所以，
与保护这些资源相关的安全策略应考虑到以下潜在威胁因素（数据中心威胁情
2012年8月系列
•无 保护数据中心网络
•其 它受保护数据中心网络
服务器机房安全设计采用了一对Cisco ASA 5500-X系列中档安全设
备。Cisco ASA 5500-X是下一代安全设备，可充分利用Cisco SecureX框架
来实现情景感知型安全方法。Cisco ASA 5500-X具有多种型号，从1 Gbps至
4 Gbps的防火墙吞吐率，以及250 Mbps至1.3 Gbps的防火墙 + IPS吞吐率，
任您选择。
Cisco ASA防火墙可通过两个千兆位以太网链路双归属至服务器机房Cisco
Catalyst交换机。 每个Cisco ASA上的第一条千兆位以太网链路被配置为传
输来自思科IBA智能业务平台局域网分布层的流量。这一链路被指定为面向防火
墙的外部VLAN，而驻留在该VLAN内的任意主机或服务器处于防火墙之外，因
此无法获得Cisco ASA的保护，从而防御来自企业网络任意其它地方的攻击。每
个Cisco ASA上的第二条千兆位以太网链路被配置为VLAN中继，以传输被指
定为与所有其它服务器机房威胁向量相隔离或采用其它IPS服务进行保护的服务
器机房VLAN。 Cisco ASA设备对面向防火墙主用/备用稿可用性运行进行配
置，以确保最大限度降低软件维护或硬件故障而导致的中断对服务器机房访问造
成的影响。当Cisco ASA配置为主用-备用模式时，备用设备不处理流量，因此必
须确保主用设备拥有足够高的吞吐率，能够支持局域网和服务器机房之间的连接
需求。尽管IPS模块不会主动交换状态流量，但它们可以通过将其状态报告给防
火墙状态监控器的方式参与防火墙设备的主用/备用状态。如果Cisco ASA本身
遇到问题或IPS模块不可用，将进行防火墙故障切换。
Cisco ASA以路由模式进行配置；因此，安全网络必须位于一个与客户端子网不
同的子网中。如果Cisco ASA以透明模式部署，IP子网分配将会得到简化；但是
主机可能会在无意中被连接至错误的VLAN，而它们仍然能够与网络进行通信，
从而导致意外的安全暴露。
服务器机房IPS能够监控和遏制得到Cisco ASA安全策略许可的流量中所包含
的潜在恶意行为。IPS传感器以混杂IDS模式部署，因此它们仅监控和报告异常流
量。IPS传感器可以在IPS模式中以内嵌的方式部署，以便充分利用其入侵防御功
服务器机房安全
19
能，在恶意流量抵达目的地之前将其阻止。选择传感器是否丢弃流量受多个因素
影响：对于出现安全事件的风险容忍，对于不经意丢弃有效流量的风险规避，以
及IPS法规遵从要求等其他可能的外部推动原因。由于可以配置以IDS模式还是
IPS模式运行，所以在满足特定安全策略方面提供了最高灵活性。
安全拓扑设计
思科IBA智能业务平台服务器机房安全设计为应用服务器提供了两种安全
VLAN。安全VLAN的数量可自行确定。本设计示例显示了如何为需要进行隔离
的主机服务创建多个安全网络。诸如企业资源规划和客户关系管理等重要应用可
能需要与其他应用进行隔离，使用自己的VLAN。
全策略，那么企业很难在维护安全的计算环境的同时定义一个有效的策略。
读者提示
有关法规遵从性注意事项的详细信息不在本文的讨论范围内。您应
当将行业相关法规纳入到您的网络安全设计中。不符合法规要求可能
会导致罚金或商业活动暂缓等规管惩罚。
图 9 - 采用安全VLAN的设计示例
机房
带有IPS的防火墙
网络安全策略基本可分为两种：
“白名单”策略和“黑名单”策略。黑名单策略会
拒绝那些明确会给网络资源带来最大风险的流量。
通过防火墙的
VLAN
图 10 - 黑名单安全策略
LAN/WAN
Internet
防火墙
+IPS VLAN
开放的
VLAN
在另一个示例中，间接暴露给互联网的服务（通过web服务器或互联网隔离区中
的其它应用服务器）应尽可能与其他服务隔离，以避免部分服务器上的互联网威
胁蔓延到其他未暴露的服务。除非安全策略规定了服务隔离，否则VLAN间的流
量应保持最低。保持VLAN内服务器间的流量将可以改进性能，并减少网络设备
的负载。
Telnet
SNMP
其他数据
3019
机房
堆叠交换机
3018
分布层
交换机
相反，白名单策略提供更保守的安全做法，它会拦截除支持应用所需流量（以足够
精细的级别）以外的所有流量。其他流量将被拦截，无需对其进行监控即可确保
没有非法活动发生；这可以减少将转发给IDS或IPS的数据量，并能最大限度减少
在发生入侵事件或数据丢失时必须浏览的日志条目的数量。
在本部署中，需要访问策略的设备将部署在防火墙后的VLAN中。需要访问策
略和IPS流量检测的设备将在Cisco ASA后逻辑上不同的VLAN中部署。因为
Cisco ASA仅物理连接至服务器机房交换机，所以这些受保护的VLAN也将在
服务器机房交换机的第二层中存在。所有受保护的VLAN均在逻辑上通过第三
层连接至流经Cisco ASA的网络其余部分，因此只能通过穿越Cisco ASA抵
达。
安全策略制定
企业在制定IT安全策略时，应首先从定义防火墙策略入手。如果没有公司级的安
2012年8月系列
服务器机房安全
20
松地制定有效的白名单策略。
图 11 - 白名单安全策略
部署详情
在服务器机房中，部署的Cisco ASA 5500-X+ IPS防火墙用于在网络核心层与
应用服务器网络之间，以及不同的应用服务器网络之间实施安全策略。
Cisco ASA采用由一对主用/备用设备组成的高可用性设置。主用/备用配置：
•比 主用/主用配置简单得多。
•允许使用同一设备提供防火墙和VPN功能（当Cisco ASA采用主用/主用配
置时，VPN功能被禁用）
本设计中的性能需求不超过单一Cisco ASA设备的性能。
白名单可以通过策略规则集的最后一条规则来识别：白名单策略的最后一条规则
总是拒绝未被先前规则拒绝或允许的任意流量。Cisco ASA防火墙在访问列表
的结尾处暗中添加了一条拒绝所有规则。黑名单策略在隐含的拒绝所有规则之
前，包括一条明确的规则，可允许任何未被明确许可或拒绝的流量通过。
黑名单策略在维护方面更为简单，干扰网络应用的可能性也更低。如果您有机会
确定网络的具体要求并调整安全策略来避免所需的网络活动受到干扰，那么白名
单策略不失为最佳的方案。因为只有开展业务所需的流量才会得到许可，因此白
名单通常能够更好地满足管制要求。
不管您是选择采用白名单还是黑名单策略基础，IDS或IPS都能监控针对可信应
用流量的恶意活动。至少，IDS或IPS可以协助进行取证，从而确定数据外泄的原
由。IPS可以检测并阻止已知攻击（在其发生时），并提供详细信息来跟踪恶意活
动的来源。IDS或IPS还可能是网络所遵从的法规监察的明确要求（例如PCI 2.0
）。
拦截高风险流量的黑名单策略在以下情况下提供了一种影响较小、安全性较低的
方案（与白名单策略相比而言）：
•详 细的网络应用活动研究不可行。
如果主用Cisco ASA设备发生故障或需要停运以便维修，则备用Cisco ASA设
备将接管所有防火墙和IPS功能。
Cisco ASA被静态路由至外部接口上的思科IBA智能业务平台局域网分布层，以
简化路由配置。另一个接口中继到服务器机房交换机，一个VLAN接口用于支持
每个应用服务器网络。
本设计为Cisco ASA防火墙连接采用了以下拓扑结构。
图 12 - 面向服务器机房的Cisco ASA连接
Cisco
ASA 5500-X
带有IPS的防火墙
机房
堆叠交换机
安全的
服务器
Failover
链路
非安全的
服务器
局域网
分布层
交换机
面向LAN的VLAN (153)
安全的服务器VLANs (154-155)
非安全的服务器VLANs (148-149)
•网 络可用性要求禁止应用故障排除。
如果识别所有应用要求不切实际，那么企业可以实施支持日志功能的黑名单策
略，以便开展详细的策略研究。通过掌握网络行为的详细信息，企业可以更加轻
2012年8月系列
服务器机房安全
21
3021
3020
Xterm
FTP
Microsoft 数据
SQL
DNS/HTTP/HTTPS
SNMP
MSRPC
绕开
其他数据
流程
程序 1
为服务器机房配置防火墙连接
配置局域网分布层
配置局域网分布层或紧缩核心层交换机，为服务器机房Cisco ASA的局域网端（
不可信）提供第三层路由，并将到可信子网的流量转发到防火墙。
1、配置局域网分布层
步骤 1: 定义外部（不可信）VLAN。
2、配置服务器机房交换机
vlan 153
name FirewallOutsideVLAN
完成以下每个程序，为服务器机房配置一对永续的Cisco ASA 5500-X。Cisco
ASA的网络端口按以下方式连接：
•G igabitEthernet 0/0连接到VLAN中继端口，提供到安全服务器机房局域
网的连接。
•G igabitEthernet 0/2通过交叉或直通以太网线缆连接到其它Cisco
ASA，用作故障切换链路。
•G igabitEthernet 0/3连接到服务器机房交换机上的接入端口
将面向每个防火墙的所有端口连接至Cisco Catalyst 3750-X堆叠中的不同交
换机，以实现永续性。
表 3 - 服务器机房防火墙VLAN
VLAN
IP地址
信任状态
用途
153
10.8.53.1 /25
不可信
防火墙至核心局域网路由
154
10.8.54.X /24
可信
防火墙保护的VLAN
155
10.8.55.X /24
可信
防火墙+ IPS保护的VLAN
表 4 - 部署中使用的通用网络服务示例
服务
地址
域名
cisco.local
Active Directory、DNS、DHCP服务器
10.8.48.10
Cisco ACS
10.8.48.15
NTP服务器：
10.8.48.17
2012年8月系列

步骤 2: 配置第三层接口SVI。
interface Vlan 153
description SR Firewall Outside SVI
ip address 10.8.53.1 255.255.255.128
no shutdown
步骤 3: 配置到服务器机房交换机的EtherChannel中继，以承载外部VLAN。
本设计将VLAN添加到了程序6“配置局域网分布层下行链路”中配置的局域网
分布层交换机至服务器机房交换机EtherChannel链路中。
interface Port-channel 7
switchport trunk allowed vlan add 153
步骤 4: 配置指向Cisco ASA防火墙后可信子网的静态路由。
ip route 10.8.54.0 255.255.255.0 Vlan 153 10.8.53.126
ip route 10.8.55.0 255.255.255.0 Vlan 153 10.8.53.126
步骤 5: 将可信子网重分布至现有的增强型内部网关路由协议(EIGRP)路由进程
中。本设计使用路由映射表来控制哪些路由将被重分布。
ip access-list standard trusted_subnets
permit 10.8.54.0 0.0.0.255
permit 10.8.55.0 0.0.0.255
!
route-map static-to-eigrp permit 10
match ip address trusted_subnets
set metric 1000000 10 255 1 1500
!
router eigrp 100
服务器机房安全
22
redistribute static route-map static-to-eigrp
程序 2

配置服务器机房交换机
本程序将创建服务器机房防火墙部署所需的所有VLAN；配置到局域网分布层的
中继以承载外部VLAN；配置外部（不可信）VLAN端口以连接至Cisco ASA防
火墙；以及配置内部（可信）VLAN中继以连接至ASA防火墙。
配置面向每个防火墙的所有端口，连接至Cisco Catalyst 3750-X堆叠中的不
同交换机，以实现永续性。
步骤 1: 配置不可信和可信的VLAN。
vlan
name
vlan
name
vlan
name
153
Firewall_Outside_VLAN
154
Firewall_Secure_VLAN
155
Firewall_IPS_Secure_VLAN
步骤 2: 配置到局域网分布层交换机的服务器机房交换机EtherChannel中继，
以便承载外部VLAN。本设计将VLAN添加到了程序4“配置服务器机房上行链
路端口”中配置的服务器机房交换机至局域网分布层交换机EtherChannel链路
中。
interface Port-channel 7
switchport trunk allowed vlan add 153
步骤 3: 如果现有的交换机端口采用服务器机房客户端边缘端口配置进行设置，
在为连接至Cisco ASA设置端口前请使用default interface命令。这可以清
除端口上现有的任意配置。
default interface GigabitEthernet [slot/port]
步骤 4: 在服务器机房交换机上配置一对以太网端口，以连接至Cisco ASA的
局域网端（不可信）接口。第一个ASA位于Catalyst 3750-X堆叠的交换机1上，
第二个ASA位于交换机2上。
!
interface range GigabitEthernet1/0/23,GigabitEthernet2/0/23
switchport
switchport access vlan 153
switchport mode access
spanning-tree portfast
macro apply EgressQoS
在此配置中，多个VLAN子接口从Cisco ASA设备的GigabitEthernet 0/0内
部接口中继到服务器机房交换机。VLAN 154和VLAN 155提供面向两种不同
的应用服务器网络的连接，其各自的安全策略要求也有所不同。
步骤 5: 将服务器机房交换机配置为内部（可信）VLAN的生成树根。因为
VLAN不中继到局域网分布层，服务器机房交换机将作为生成树根。
spanning-tree vlan 154-155 root primary
步骤 6: 配置服务器机房交换机接口，以连接到Cisco ASA服务器机房防火墙
的内部接口。
interface GigabitEthernet1/0/24
description SR-ASA5500a inside gi 0/0
!
interface GigabitEthernet2/0/24
description SR-ASA5500b inside gi 0/0
!
interface range GigabitEthernet1/0/24,GigabitEthernet2/0/24
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 154-155
switchport mode trunk
spanning-tree portfast trunk
macro apply EgressQoS
interface GigabitEthernet1/0/23
description SR-ASA5500a outside gi 0/3
!
interface GigabitEthernet2/0/23
description SR-ASA5500b outside gi 0/3
2012年8月系列
服务器机房安全
23
Pre-configure Firewall now through interactive prompts [yes]?
no
流程
步骤 2: 确认配置模式。
配置服务器机房防火墙
configure terminal
1、应用Cisco ASA初始配置
步骤 3: 选择您的匿名监控参数。
2、配置防火墙外部端口
您可以选择以匿名方式向思科报告错误和运行状况信息。选择适用于贵企业安
全策略的选项。
3、配置用户身份验证
***************************** NOTICE
*****************************
4、配置时间同步和日志
Help to improve the ASA platform by enabling anonymous
reporting,
which allows Cisco to securely receive minimal error and
health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall
5、配置设备管理协议
6、配置Cisco ASA的内部接口
7、配置防火墙静态路由
通过高可用性设备对中作为主用Cisco ASA防火墙的控制台端口，利用CLI应用
本流程的配置。 备用设备在通过下一流程“配置防火墙高可用性”进行设置后，
从主用设备同步配置。
步骤 4: 为Cisco ASA配置主机名。
使能模式的出厂默认密码是<CR>。
hostname SR-ASA5500X
表 5 - Cisco ASA 5500X防火墙和IPS模块寻址
ASA防火墙故障切换状态
ASA防火墙IP地址
IPS模块IP地址
主用
10.8.53.126 /25
10.8.15.21 /24
备用
10.8.53.125 /25
10.8.15.22 /24
程序 1

Would you like to enable anonymous error reporting to help
improve
the product? [Y]es, [N]o, [A]sk later:N
应用Cisco ASA初始配置
仅在主用Cisco ASA（构成高可用性设备对）上通过CLI应用初始配置。
步骤 5: 启用专用管理接口，并删除任意旨在用作IPS管理端口的IP地址。
interface Management0/0
nameif IPS-mgmt
no ip address
no shutdown
步骤 6: 配置管理用户名和密码。
username admin password [password] privilege 15
步骤 1: 针对提示符“Pre-configure Firewall now through interactive
prompts”
（现在通过交互式提示预配置防火墙”，回答no（否）。此提示信息将
显示在从未进行任何配置的新Cisco ASA上。
2012年8月系列
服务器机房安全
24
技术提示
程序 3
本文中的所有密码都仅作为示例提供，不应在生产配置中使用。根据
贵公司的策略，或者在没有策略的情况下，创建一个由大写字母、小写
字母和数字组成的至少包含8个字符的密码。
程序 2

配置防火墙外部端口
接下来，您需要配置防火墙，以便与服务器机房交换机相连的接口，位于与服务器
机房交换机端口（已针对外部VLAN进行了配置）相连的防火墙的不可信端。
如果您希望减少每设备的运行任务，可使用TACACS+协议在基础设施设备上向
AAA服务器验证管理登录，从而配置集中式用户身份验证。
随着网络中需要维护的设备不断增加，在每台设备上维护本地用户帐户的任务也
将不断加重。集中式AAA服务可以减少每台设备的操作任务，并提供用户访问审
核日志，以便进行安全合规检查和根本原因分析。在对访问控制采用AAA时，对
网络基础设施设备的所有管理访问（SSH和HTTPS）都由AAA控制。
读者提示
本架构中使用的AAA服务器是Cisco Secure ACS。有关Cisco
Secure ACS配置，详见《思科IBA智能业务平台——采用ACS的无
边界网络设备管理部署指南》。
interface GigabitEthernet0/3
nameif outside
ip address 10.8.53.126 255.255.255.128 standby 10.8.53.125
no shutdown
在默认状态下，流量能从高安全级别接口传输到较低安全级别接口。也就是说，
来自内部网的流量可以传输到外部网，而反之则不可以。
技术提示
这些接口除主IP地址外，还有一个备用IP地址。这是防火墙故障切换
配置的一部分，用于确定接口是否已连接，并且是否可以用于网络。
将不被监控的接口无需备用地址。
配置用户身份验证
（可选）
步骤 1: 将Ethernet 0/3配置为与服务器机房交换机外部接口相连的外部接
口。将自动应用默认外部安全等级0。
Cisco ASA上的所有接口都有一个安全级别设置。编号越高，该接口越安全。内
部接口一般会分配最高安全级别，即100。外部接口的安全级别通常为0。

TACACS+是在基础设施设备上向AAA服务器验证管理登录所采用的主要协
议。此外，系统还定义了一个本地AAA用户数据库，用于在中央TACACS+服务
器不可用时，提供后备身份认证源。
步骤 1: 配置TACACS+服务器。
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (outside) host 10.8.48.15 SecretKey
步骤 2: 配置设备的管理身份验证，先使用TACACS+服务器，如果TACACS+
服务器不可用再使用本地用户数据库。
aaa
aaa
aaa
aaa
authentication
authentication
authentication
authentication
enable console AAA-SERVER LOCAL
ssh console AAA-SERVER LOCAL
http console AAA-SERVER LOCAL
serial console AAA-SERVER LOCAL
步骤 3: 配置appliance设备，使用AAA来进行管理用户授权。
2012年8月系列
服务器机房安全
25
aaa authorization exec authentication-server
程序 5
技术提示
如果用户的特权级别为15，基于Cisco ASA防火墙（与Cisco IOS
设备不同）的用户授权不会自动为他们呈现使能提示。
程序 4

配置时间同步和日志
作为网络安全设备的重要功能，日志和监控专门支持故障诊断和合规审计。
网络时间协议(NTP)用于跨设备网络同步时间。NTP网络通常从权威时间源，如
与时间服务器相连的无线电时钟或原子钟那里获取时间信息。然后NTP在企业
网络中分发此信息。
网络设备应设定为与网络中的本地NTP服务器保持同步。本地NTP服务器通常
会参考来自外部来源的更准确的时钟信息。
在设备上可以记录一系列详细信息。信息级日志能够实现信息细节和日志消息数
量之间的理想平衡。级别较低的日志产生的消息较少，但它们生成的细节不够，无
法用于有效审核网络活动。级别较高的日志产生的消息数量较多，但其价值不够
高，无法体现信息数量多的优势。
步骤 1: 配置NTP服务器IP地址。
ntp server 10.8.48.17
步骤 2: 配置时区。
clock timezone PST -8 0
clock summer-time PDT recurring
步骤 3: 配置哪些日志存储在设备上。
logging enable
logging buffered informational

配置设备管理协议
思科自适应安全设备管理器（Cisco ASDM）要求设备的HTTPS服务器可用。
请确保配置中包含支持管理员通过Cisco ASDM访问设备的网络；appliance
设备可以为单个地址或管理子网（在本例中为10.8.48.0/24）提供受控的Cisco
ASDM访问。
HTTPS和SSH是HTTP和Telnet协议的安全替代品。它们使用SSL和TLS提供
设备身份验证与数据加密。
使用SSH和HTTPS协议旨在更安全地管理设备。这两个协议都进行了加密，以
确保私密性，而不安全的协议（Telnet和HTTP）则被关闭。
SNMP用于支持使用NMS管理网络基础设施设备。SNMPv2c针对只读团体字
符串进行了配置。
步骤 1: 允许内部管理员通过HTTPS和SSH远程管理设备。
domain-name cisco.local
http server enable
http 10.8.48.0 255.255.255.0 outside
ssh 10.8.48.0 255.255.255.0 outside
ssh version 2
步骤 2: 配置设备，支持从NMS进行SNMP轮询。
snmp-server host outside 10.8.48.35 community [cisco]
snmp-server community [cisco]
程序 6

配置Cisco ASA的内部接口
采用一对以太网VLAN中继，将Cisco ASA的内部接口连接至为程序2“配置服
务器机房交换机”步骤6的内部VLAN而配置的服务器机房交换机端口。VLAN
中继允许根据需要灵活地提供用于多个可信VLAN的连接性。防火墙在接口上承
载两个内部子接口——VLAN 154和VLAN 155。 步骤 1: 清空所有名称、安全级别和IP地址设置，然后启用接口。
interface GigabitEthernet0/0
no nameif
no security-level
2012年8月系列
服务器机房安全
26
no ip address
no shutdown
流程
步骤 2: 配置防火墙的内部子接口，用于连接至局域网核心层交换机上的可信
VLAN。
interface GigabitEthernet0/0.154
vlan 154
nameif SRVLAN154
security-level 100
ip address 10.8.54.1 255.255.255.0 standby 10.8.54.2
!
interface GigabitEthernet0/0.155
vlan 155
nameif SRVLAN155
security-level 100
ip address 10.8.55.1 255.255.255.0 standby 10.8.55.2
程序 7

配置防火墙静态路由
服务器机房Cisco ASA设备将作为内部应用服务器网络的默认路由器，并静态
路由至面向服务器机房外部网络的外部接口上的核心层网络。
步骤 1: 在Cisco ASA对上配置指向局域网分布层的静态路由。该静态路由将
指向在程序1“配置局域网分布层”步骤2中配置的VLAN 153 SVI地址。
route outside 0.0.0.0 0.0.0.0 10.8.53.1 1
配置防火墙高可用性
1、在主用Cisco ASA上配置HA
2、在备用Cisco ASA上配置高可用性
Cisco ASA设置为一对高度可用的主用/备用设备。之所以采用主用/备用模
式而非主用/主用配置，是因为如果在未来相关需求，这种配置可支持将同一个
ASA用于防火墙和VPN服务（在主用/主用配置中VPN功能在ASA上被禁用）。
如果主用ASA发生故障或需要关闭以进行维护，备用ASA将代为执行所有主用
防火墙和IPS功能。在主用/备用配置中，在同一时间只有一台设备传输流量；因
此，必须对Cisco ASA进行容量评估，以便双机配置中的任何一台设备都能独自
处理所有流量。
故障切换设备对中的两台设备必须是同一型号，拥有相同的特性许可证和IPS（
如果安装了该软件模块）。要启用故障切换，备用ASA设备必须开启而且必须与
主用设备位于同一网络。
每个Cisco ASA上都会有一个接口被配置为状态同步化接口，ASA将利用这一
接口共享配置更新、确定高可用性设备对中的哪台设备处于活动状态，并为活跃
连接交换状态信息。故障切换接口承载着状态同步化信息的传输。所有会话状态
信息都通过这一接口从主用设备复制到备用设备。由于数据量可能非常庞大，我
们建议将这个接口用作专用接口。
在默认状态下，ASA从故障中恢复正常运行需要2到25秒。通过调整故障切换轮
询时间可将这一时间降低到0.5到5秒。对于一个容量符合要求的Cisco ASA，
缩短轮询时间不会影响ASA的性能，从而最大限度减少了故障切换过程中用户
的停机时间。我们不建议您将故障切换时间间隔缩短到本指南中这些值以下。
程序 1

在主用Cisco ASA上配置HA
步骤 1: 在主用Cisco ASA上启用故障切换，然后将其指定为主用设备。
failover
failover lan unit primary
2012年8月系列
服务器机房安全
27
步骤 2: 配置故障切换接口。
failover
failover
failover
failover
lan interface failover GigabitEthernet0/2
replication http
key [key]
link failover GigabitEthernet0/2
步骤 3: 为了在发生设备或链路故障时，加快故障切换速度，您可以调整故障切
换计时器。在默认设置下，根据故障的具体情况，Cisco ASA可以在2至25秒内
切换到备用设备。根据故障情况，通过调整故障切换轮询时间可将切换时间降低
到0.5到5秒。
在中低负载的Cisco ASA上，可在不影响性能的情况下调整轮询时间。
failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5
步骤 4: 配置故障切换接口IP地址。
failover interface ip failover 10.8.53.130 255.255.255.252
standby 10.8.53.129
步骤 5: 启用故障切换接口。
interface GigabitEthernet0/2
no shutdown
步骤 6: 配置故障切换以监视外部接口。
monitor-interface outside
步骤 7: 配置故障切换以监视内部接口。
monitor-interface SRVLAN154
monitor-interface SRVLAN155
程序 2

在备用Cisco ASA上配置高可用性
步骤 1: 在备用Cisco ASA上启用故障切换，并将其指定为备用设备。
failover replication http
failover key [key]
failover link failover GigabitEthernet0/2
步骤 3: 配置故障切换接口IP地址。
failover interface ip failover 10.8.53.130 255.255.255.252
standby 10.8.53.129
步骤 4: 启用故障切换接口。
interface GigabitEthernet0/2
no shutdown
该步骤可以使Cisco ASA设备从主用设备向备用设备同步其配置。 步骤 5: 验证Cisco ASA设备间的备用同步。在主用设备的命令行接口上，执行
show failover state命令。
SR-ASA5500X# show failover state
Time
This host
State
-
Other host -
Primary
Active
Secondary
Standby Ready
Last Failure Reason
Date/
None
None
====Configuration State===
Sync Done
====Communication State===
Mac set
步骤 6: 在主用Cisco ASA上保存您的Cisco ASA防火墙配置。这将可以在主
用和备用ASA防火墙上保存配置。
copy running-config startup-config
failover
failover lan unit secondary
步骤 2: 配置故障切换接口。
failover lan interface failover GigabitEthernet0/2
2012年8月系列
服务器机房安全
28
HTTP、HTTPS、DNS和其他Microsoft架构网络中常见的服务。
流程
步骤 1: 控制访问权限，确保只能访问特定的主机。
评估和部署防火墙安全策略
1、评估安全策略要求
2、部署相应的安全策略
本流程描述了评估哪类策略满足企业的服务器机房安全要求所需的步骤，并提供
了应用这些策略的必要程序。
程序 1

评估安全策略要求
步骤 1: 通过回答以下问题来评估安全策略要求。
•安 全的服务器机房将用于支持哪些应用？
•能否在协议级别描绘应用流量的特征？
•如 果安全策略干扰了应用，能否提供详细的应用行为描述，来加速故障排
除？
•网 络对于网络可控部分与不可控部分之间的基准性能期望是什么？
•您 期望安全控件处理的最高吞吐率是多少，包括工作站备份或将数据传输至
辅助数据复制站点等带宽密集型活动？
步骤 2: 针对每个服务器机房VLAN，确定用于满足应用要求的安全策略。每个
需要防火墙的VLAN都需要部署一个许可性（黑名单）或限制性（白名单）安全策
略。
程序 2

部署相应的安全策略
网络安全策略的配置完全取决于企业组织的策略和管理要求。因此，此处的示例
仅供您在进行安全策略配置时参考之用。
选项 1. 部署白名单安全策略
可应用基本的白名单数据服务策略，来支持各种常见的业务服务，如
2012年8月系列
object network BladeWeb1Secure
host 10.8.54.100
object network BladeWeb2Secure
host 10.8.55.100
!
object network Secure-Subnets
subnet 10.8.54.0 255.255.255.0
object network SecureIPS-Subnets
subnet 10.8.55.0 255.255.255.0
!
object-group network Application-Servers
description HTTP, HTTPS, DNS, MSExchange
network-object object BladeWeb1Secure
network-object object BladeWeb2Secure
!
object-group service MS-App-Services
service-object tcp destination eq domain
service-object tcp destination eq www
service-object tcp destination eq https
service-object tcp destination eq netbios-ssn
service-object udp destination eq domain
service-object udp destination eq nameserver
service-object udp destination eq netbios-dgm
service-object udp destination eq netbios-ns
!
access-list global_access extended permit object-group MSApp-Services any object-group Application-Servers
步骤 2: 指定特定用户（例如，IT管理人员或网络用户）可以使用的资源，以便于
访问管理资源。在本例中，处于IP地址范围10.8.48.224–255中的管理主机被
允许通过SSH和SNMP访问服务器机房子网。
object network Mgmt-host-range
range 10.8.48.224 10.8.48.254
object-group network SR_Secure_Subnet_List
服务器机房安全
29
network-object object Secure-Subnets
network-object object SecureIPS-Subnets
object-group service Mgmt-Traffic
service-object tcp destination eq ssh
service-object udp destination eq snmp
access-list global_access extended permit object-group MgmtTraffic object Mgmt-host-range object-group SR_Secure_Subnet_
List
步骤 3: 如果您想允许访问某个应用以便进行防火墙策略故障排除，请配置旁路
规则。旁路规则允许对已添加到适当网络对象组中的主机进行广泛访问。必须谨
慎地定义旁路规则，以避免对那些必须拦截的主机或服务进行开放式访问。在白
名单策略中，旁路规则通常被禁用，只有在防火墙策略故障排除需要访问应用时
才启用。
以下策略定义了两个主机，并将它们应用到了旁路规则。
object-group network Bypass-Rule
description Open Policy for Server Access
network-object object BladeWeb1Secure
network-object object BladeWeb2Secure
access-list global_access extended permit ip any object-group
Bypass-Rule
这会禁用旁路规则：
access-list global_access extended permit ip any object-group
Bypass-Rule inactive
技术提示
旁路规则组有助于故障排除，或提供对于那些必须打开以支持维护或
服务迁移的主机服务的临时访问。除非用于故障排除，否则它通常会
被禁用
步骤 4: 保存您的Cisco ASA防火墙配置。
copy running-config startup-config
2012年8月系列
选项 2. 部署黑名单安全策略
如果一家企业没有意愿或资源来维持细粒度的限制性策略，从而控制集中式数据
和用户社区之间的访问，那么他们可以实施更简单且易于部署的安全策略来仅限
制那些最高风险流量的传输。这种策略通常会配置为仅拦截对特定服务的访问；
所有其他流量将被放行。
步骤 1: 允许针对将分配给IT人员的特定地址范围的SNMP查询和SSH请求。
网络管理用户可能需要从台式机发出SNMP查询请求，以监控网络活动和用于连
接至设备的SSH。
object network Secure-Subnets
subnet 10.8.54.0 255.255.255.0
object network SecureIPS-Subnets
subnet 10.8.55.0 255.255.255.0
!
object network Mgmt-host-range
range 10.8.48.224 10.8.48.254
object-group network SR_Secure_Subnet_List
network-object object Secure-Subnets
network-object object SecureIPS-Subnets
object-group service Mgmt-Traffic
service-object tcp destination eq ssh
service-object udp destination eq snmp
access-list global_access extended permit object-group MgmtTraffic object Mgmt-host-range object-group SR_Secure_Subnet_
List
步骤 2: 拦截到所有其它主机的Telnet、SSH和SNMP。
access-list global_access extended deny object-group MgmtTraffic any any
步骤 3: 配置一个规则，允许未被步骤2中的黑名单规则明确拒绝的流量，抵达
安全的服务器子网中的服务器。请注意，此策略禁止了日志功能，以防止防火墙不
得不记录所有对于服务器网络的访问。
access-list global_access extended permit ip any object-group
DC_Secure_Subnet_List log disable
步骤 4: 保存您的Cisco ASA防火墙配置。
服务器机房安全
30
copy running-config startup-config
流程
部署防火墙入侵防御系统(IPS)
1、配置局域网交换机接入端口
2、初始化IPS模块
3、应用初始配置
4、完成基本配置
从安全的角度来看，入侵检测系统(IDS)和入侵防御系统(IPS)是防火墙的补充，
因为防火墙是通用访问控制设备，专门为阻止对应用或主机的访问而构建。通过
这种方式，防火墙能拒绝对于大量应用端口的访问，从而减少服务器威胁。IDS
和IPS传感器负责寻找获准通过防火墙的网络和应用流量中存在的攻击行为。如
果IDS配置的传感器检测到攻击，它会生成一个告警，通知企业有关此活动的情
况。IPS配置的传感器情况类似，它会在发现恶意活动时生成告警，并在攻击抵达
目的地之前将其拦截。
混杂与内嵌部署模式
当使用IPS传感器时有两种主要部署模式：混杂(promiscuous)（IDS）或内嵌
(inline)（IPS）。选择哪种部署模式取决于风险承受能力和容错性等具体因素。
•在 混杂模式中(IDS)，传感器仅检查数据包的副本，因此当它发现恶意数据
包时也无法阻止它的传输。IDS传感器必须利用另一个内嵌执行设备来阻止
恶意流量。这意味着，对于诸如单数据包攻击（例如，基于用户数据报协议
[UDP]的slammer蠕虫）等活动，IDS传感器不能阻止攻击的发生。但在识
别和清理受感染主机方面，IDS传感器具有巨大价值。
•在内嵌(IPS)部署中，由于数据包流通过传感器发送并返回到Cisco ASA，因
此传感器会检测实际数据包。IPS模式的优势是，如果传感器发现了恶意行
为，它只需丢弃恶意数据包即可。这使得IPS设备具有较高的实际防御攻击的
能力。
2012年8月系列
部署考虑事项
如果您不想影响网络可用性或引发延迟问题，可使用IDS。当您需要比IDS更高的
安全性，以及需要丢弃恶意数据包的能力时，可使用IPS。
安全的数据中心设计使用具有IPS的Cisco ASA 5500-X，为IPS实施一个策
略，它将所有流量以内嵌(inline)方式发送至IPS模块。
贵企业能够根据法规和应用需求，选择IPS或IDS部署。您在初始部署时可以先
从IDS或混杂设计入手，然后在了解了网络中的流量和性能状况，且您确信不会影
响到生产流量后，再选择IPS。
程序 1

配置局域网交换机接入端口
服务器机房交换机上的局域网交换机端口可以为IPS传感器的管理接口提供连
接性。
步骤 1: 在服务器机房交换机上配置一个到管理VLAN的接入端口，在这里将
连接每个IPS设备的管理端口。在Cisco ASA 5500X系列防火墙上，防火墙和
IPS模块共用同一个管理接口。本部署方案将只用该管理接口访问IPS模块。本
指南“服务器机房以太网局域网”章节中的程序3“应用交换机全局配置”对服务
器机房管理VLAN进行了定义。
interface GigabitEthernet1/0/20
description SR-5500X-IPSa
!
interface GigabitEthernet2/0/20
description SR-5500X-IPSb
!
Interface range GigabitEthernet1/0/20, Gigabit Ethernet 2/0/20
switchport
switchport access vlan 115
switchport mode access
switchport host
程序 2

初始化IPS模块
在开始部署采用IPS的Cisco ASA 5500-X系列时，软件IPS模块可能没有进行
初始化，从而导致ASA防火墙不知道用哪个代码版本来启动IPS模块。采用以下
程序验证IPS模块状态并做好配置准备。
服务器机房安全
31
步骤 1: 从Cisco ASA命令行，查看IPS模块软件的状态。
SR-ASA5500X# show module ips detail
步骤 2: 如果下面显示的状态为Up，就意味着IPS模块软件已经加载，您可以跳
到程序3。
SR-ASA5500X# show module ips detail
Getting details from the Service Module, please wait...
Card Type:
Model:
Hardware version:
Serial Number:
Firmware version:
Software version:
MAC Address Range:
App. name:
App. Status:
App. Status Desc:
App. version:
Data Plane Status:
Status:
Up
ASA 5545-X IPS Security Services Processor
ASA5545-IPS
N/A
FCH161170MA
N/A
7.1(4)E4
c464.1339.a354 to c464.1339.a354
IPS
Up
Normal Operation
7.1(4)E4
Up
步骤 3: 如果下面显示的状态是Status:Unresponsive No Image
Present（状态：无响应；镜像不存在），就表示IPS模块软件没有加载。请继续
执行下一步。
SR-ASA5500X# show module ips detail
Getting details from the Service Module, please wait...
Unable to read details from module ips
Card Type:
Model:
Hardware version:
Serial Number:
Firmware version:
Software version:
MAC Address Range:
Data Plane Status:
2012年8月系列
Unknown
N/A
N/A
FCH16097J3F
N/A
c464.1339.2cf1 to c464.1339.2cf1
Not Applicable
Status:
...
Unresponsive No Image Present
步骤 4: 确认您在Cisco ASA防火墙disk0:上安装了正确的IPS镜像。
SR-ASA5500X# dir
Directory of disk0:/
2
drwx 4096
5
drwx 4096
14
drwx 4096
115
-rwx 34523136
bin
116
-rwx 42637312
K9-sys-1.1-a-7.1-4-E4.aip
17:06:58
17:07:12
17:07:14
17:08:56
Apr
Apr
Apr
Apr
15
15
15
15
2012
2012
2012
2012
17:11:28 Apr 15 2012
log
crypto_archive
coredumpinfo
asa861-smp-k8.
IPS-SSP_5525-
读者提示
Cisco ASA-5500X系列的软件安装和升级信息可以从以下网址中
找到：
http://www.cisco.com/en/US/partner/docs/security/asa/
asa84/release/notes/asarn86.html
步骤 5: 配置IPS模块，以便在disk0:上加载软件，再用该软件启动。
SR-ASA5500X# sw-module module ips recover configure image
disk0:/IPS-SSP_5525-K9-sys-1.1-a-7.1-4-E4.aip
SR-ASA5500X# sw-module module ips recover boot
Module ips will be recovered. This may erase all configuration
and all data on that device and attempt to download/install a
new image for it. This may take several minutes.
Recover module ips? [confirm]y
Recover issued for module ips.
恢复进程需要几分钟才能完成。
步骤 6: 检查模块是否已正确加载。
服务器机房安全
32
SR-ASA5500X# show module ips detail
输出行应显示Status: Up（状态：Up）。
程序 3

应用初始配置
使用传感器的CLI以设置基本网络信息，包括IP地址、网关地址和允许远程访问
的访问列表。在这些关键数据被输入后，其余配置将通过嵌入式GUI控制台——
思科自适应安全设备管理器/IPS设备管理器(ASDM/IDM)完成。
步骤 1: 从Cisco ASA，打开进入模块的会话。
在登录至Cisco ASA防火墙设备后，访问IPS模块。
SR-ASA5500X# session ips
Opening command session with module ips.
Connected to module ips. Escape character sequence is ‘CTRL^X’.
步骤 2: 登录到IPS模块。默认用户名和密码都是cisco。 login: cisco
Password:[password]
如果这是您首次登录此传感器，系统会提示您更改密码。输入当前密码，然后再
输入一个新密码。将密码更改为一个符合贵企业安全策略要求的新密码。
步骤 3: 开始输入设置脚本信息。如果这是IPS系统上的首个配置，它将自动运
行设置脚本。如果设备没有自动运行设置脚本，在IPS模块的CLI中键入setup，
启动System Configuration Dialogue（系统配置对话框）。
sensor# setup
Enter host name [sensor]: SR-IPS-A
步骤 5: 定义IPS模块外部管理端口的IP地址和网关地址。
Enter IP interface [192.168.1.62/24,192.168.1.250]:
10.8.15.21/25,10.8.15.1
步骤 6: 定义访问列表，然后按Enter键。该操作可控制对于IPS模块的管理访
问。在空白Permit:提示符处按Enter键进入下一步。
Modify current access list?[no]: yes
Current access list entries:
No entries
Permit: 10.8.48.0/24
步骤 7: 针对之后三个问题接受默认回答（no）。
Use DNS server for Global Correlation? [no]:
Use HTTP proxy server for Global Correlation? [no]:
Modify system clock settings?[no]:
请注意以下几点：
•全 局关联被禁用，直至配置流程的最后环节。 •对于根据本指南配置的网络，将不需要HTTP代理服务器地址。
•您 将在IPS模块的GUI控制台中配置时间详细信息。
步骤 8: 针对该选项接受默认回答（off），加入SensorBase网络。
Participation in the SensorBase Network allows Cisco to
collect aggregated statistics about traffic sent to your IPS.
SensorBase Network Participation level? [off]:
IPS模块进入交互式设置。
IPS模块显示您的配置和拥有四个选项的简要菜单。
步骤 4: 定义IPS模块的主机名。
步骤 9: 在System Configuration（系统配置）对话框中，保存您的配置，然
后通过输入2退出设置。
--- Basic Setup ----- System Configuration Dialog --At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]’.
Current time: Mon May 21 06:08:50 2012
Setup Configuration last modified: Mon May 21 05:48:45 2012
2012年8月系列
The following configuration was entered.
service host
network-settings
host-ip 10.8.15.21/25,10.8.15.1
host-name SR-IPS-A
telnet-option disabled
服务器机房安全
33
access-list 10.8.0.0/16
ftp-timeout 300
no login-banner-text
dns-primary-server disabled
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy no-proxy
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service global-correlation
network-participation off
exit
[0]
[1]
[2]
[3]
步骤 11: 针对在其它Cisco ASA机箱中安装的IPS传感器，重复此程序的步骤
1至步骤10。在步骤4中分配一个唯一的主机名(SR-IPS-B)，在步骤5中确保在其
它传感器的管理接口上使用不同的IP地址(10.8.15.22)。
程序 4

完成基本配置
当System Configuration Dialog（系统配置对话框）中的基本设置完成后，
您将使用集成管理工具思科ASDM/IDM中的启动向导完成剩余任务，以便进行
基本IPS配置：
•配 置时间设置
•配 置DNS和NTP服务器
•定 义基本的IDS配置
•配 置检测服务规则策略
•向 虚拟传感器分配接口
使用ASDM配置IPS模块运行，可支持通过GUI来设置从Cisco ASA防火墙到
IPS模块的通信路径，以及配置IPS模块设置。
Go to the command prompt without saving this config.
Return to setup without saving this config.
Save this configuration and exit setup.
Continue to Advanced setup.
Enter your selection[3]: 2
Warning: DNS or HTTP proxy is required for global correlation
inspection and reputation filtering, but no DNS or proxy
servers are defined.
--- Configuration Saved --Complete the advanced setup using CLI or IDM.
To use IDM,point your web browser at https://<sensor-ipaddress>.
步骤 10: 要返回至Cisco ASA命令行，请输入exit（退出）。
2012年8月系列
服务器机房安全
34
步骤 1: 通过安全的HTTP会话(https://10.8.53.126)转至程序2“配置防火
墙外部端口”中设定的Cisco ASA防火墙外部接口，从而连接至传感器，然后点
击Run ASDM，它将从Java Web Start应用中运行ASDM。或者，您可以选择
Install ASDM Launcher and Run ASDM（安装ASDM启动程序并运行
ASDM），它可以支持您连接至多个安全设备。
步骤 3: 在Cisco ASDM工作窗格中，点击Intrusion Prevention（入侵防
御）选项卡，输入IPS-A访问所需的连接信息，然后点击Continue（继续）。
Cisco ASDM从面向SR-IPS-A的ASA上下载IPS信息。
步骤 2: 输入在程序1“应用Cisco ASA初始配置”步骤6中为Cisco ASA防火
墙配置的用户名和密码。
2012年8月系列
服务器机房安全
35
步骤 4: 点击Configuration（配置），转向IPS选项卡，然后点击Launch
Startup Wizard（运行启动向导）。
步骤 7: 如果对于您所在的时区必要，请选择Enable Summertime（启用夏
令时），确保未选择Authenticated NTP（经验证的NTP），然后点击Next（
下一步）。
步骤 5: 查看Startup Wizard Introduction（启动向导介绍），然后点击
Next（下一步）。
步骤 6: 在Sensor Setup（传感器设置）页面，配置DNS服务器地址、时区和
NTP服务器地址，并在Network Participation（网络参与）下选择Partial（
部分）。
技术提示
如果您使用一款安全事件信息管理器产品来监视网络上的安全活动，
则NTP对于安全事件关联特别重要。
2012年8月系列
步骤 8: 预览Network Participation Disclaimer（网络参与免责声明），然
后点击Agree（同意）。
现在您必须确定传感器模式。
“如需了解有关IPS与IDS模式的更多信息，请参阅
本流程介绍。”
本程序采用了IPS模式。
步骤 9: 在Startup Wizard:Virtual Sensors（启动向导：虚拟传感器）页，点
击Next（下一步）。
服务器机房安全
36
步骤 10: 在Startup Wizard:Traffic Allocation（启动向导：流量分配）页，
点击Add（添加）。
2012年8月系列
步骤 11: 在Specify traffic for IPS Scan（指定IPS扫描流量）窗口中，
在Interface（接口）列表选择SRVLAN155用于IPS检测，然后在Traffic
Inspection Mode（流量检测模式）旁边选择Inline（内嵌），然后点击OK。
服务器机房安全
37
步骤 12: 在Traffic Allocation（流量分配）页，在Packet Flow Diagram
for the selected Rule(已选规则的数据包流量图)面板中，点击Start（开始）
验证流量分配路径。动画将演示数据包被复制到IPS模块和出口接口。动画可能
会显示一个与您正在配置的平台相比不正确的平台，但这不会引起任何运行方面
的问题。 重启，直到本程序结束。
步骤 14: 转至Policies（策略） > IPS Policies（IPS策略）。
步骤 15: 在Add Virtual Sensor（添加虚拟传感器）旁边的顶部工作窗格中，
点击Edit（编辑）。
步骤 13: 在Startup Wizard（启动向导）页，点击Finish（完成），然后当提示
您是否将更改应用至传感器时点击Yes（是）。
系统会通知您IPS传感器要求重启，以应用新配置。点击OK，进行下一步，延迟
2012年8月系列
服务器机房安全
38
步骤 16: 在Edit Virtual Sensor（编辑虚拟传感器）窗口，在Interfaces（接
口）面板，选择Assigned（已分配），然后点击OK。
在默认情况下，High Risk（高风险）表示事件的风险等级从90至100。在本部署
中，为降低丢弃非恶意流量的风险，您可以编辑Deny Packet（拒绝数据包）操
作，使其仅在Risk Rating（风险等级）为100时触发。这意味着传感器现在将仅
对Risk Rating（风险等级）等于100的事件使用Deny Packet（拒绝数据包）
操作，即只有当最精确、风险最高的签名防御时才会出现。
步骤 19: 在Virtual Sensor（虚拟传感器）面板中，右击vs0项，然后点击
Edit（编辑）。
步骤 20: 在Event Action Rule（事件操作规则）工作窗格中，点击Deny
Packet Inline Override（拒绝数据包内嵌忽略），然后点击Delete（删除）
。 步骤 21: 点击Add（添加），添加新的覆盖。
步骤 17: 在工作窗格中点击Apply（应用），保存您的更改。
在主面板中，请注意有Event Action Override（事件操作覆盖），以便为所有
High Risk（高风险）事件Deny Packet Inline（拒绝数据包内嵌）。
步骤 18: 在主面板Event Action Rules（事件操作规则）工作窗格中，点击
Risk Category（风险类别）选项卡，了解有关High Risk（高风险）含义的信
息以及当前的风险和范围。
2012年8月系列
服务器机房安全
39
步骤 22: 在Risk Rating（风险等级）字段中，输入值100-100，选择Deny
Packet Inline（拒绝数据包内嵌），然后点击OK。
GUI控制台将从IPS会话中断开，并要求您再次登录至Cisco ASA防火墙上的
Cisco ASDM会话。主用ASA防火墙将不会切换到备用状态，因为它已经丢失
到主用ASA中的IPS模块的连接。
步骤 25: 采用您在本程序步骤1中使用的IP地址和证书，登录至防火墙上的
Cisco ASDM会话。您现在将登录至备用的活动ASA防火墙。
步骤 26: 采用SR-IPS-B IP地址(10.8.15.22)，重复步骤3至步骤24。
这两个传感器之间没有配置同步。
步骤 23: 在Edit Virtual Sensor（编辑虚拟传感器）工作窗格中点击OK，
然后点击Apply（应用）。
步骤 24: 转至IPS > Reboot Sensor（重启传感器），点击Reboot
Sensor（重启传感器），然后再次点击OK。
2012年8月系列
服务器机房安全
40
附录A: 产品列表
服务器机房
功能区域
Product Description
产品编号
可堆叠以太交换机
Cisco Catalyst 3750-X Series Stackable 48 Ethernet 10/100/1000
ports
WS-C3750X-48T-S 15.0(1)SE2
Cisco Catalyst 3750-X Series Stackable 24 Ethernet 10/100/1000
ports
WS-C3750X-24T-S
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
C3KX-NM-1G
Cisco Catalyst 3560-X Series Standalone 48 Ethernet 10/100/1000
ports
WS-C3560X-48T-S 15.0(1)SE2
Cisco Catalyst 3560-X Series Standalone 24 Ethernet 10/100/1000
ports
WS-C3560X-24T-S
Cisco Catalyst 3750-X Series Four GbE SFP ports network module
C3KX-NM-1G
Cisco ASA 5545-X IPS Edition - security appliance
ASA5545-IPS-K9
Cisco ASA 5525-X IPS Edition - security appliance
ASA5525-IPS-K9
独立端口以太交换机
防火墙
2012年8月系列
软件版本
IP Base
IP Base
ASA 8.6(1)1
IPS 7.1(4) E4
附录A: 产品列表
41
附录B: 配置示例
Cisco Catalyst 3750-X交换机堆叠
服务器机房Cisco Catalyst 3750-X交换机以两台交换机组成的堆叠配置运
行，提供永续的以太网局域网。
!
version 15.0
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname SR3750Xy
!
boot-start-marker
boot-end-marker
!
enable secret 5 *****
!
username admin privilege 15 password 7 *****
aaa new-model
!
!
aaa group server tacacs+ TACACS-SERVERS
server name TACACS-SERVER-1
!
aaa authentication login default group TACACS-SERVERS local
aaa authorization console
aaa authorization exec default group TACACS-SERVERS local
!
!
!
!
2012年8月系列
!
aaa session-id common
clock timezone PST -8 0
clock summer-time PDT recurring
switch 1 provision ws-c3750x-24p
switch 2 provision ws-c3750x-24p
system mtu routing 1500
authentication mac-move permit
!
!
ip domain-name cisco.local
ip name-server 10.8.48.10
vtp mode transparent
udld enable
!
mls qos map policed-dscp 0 10 18 to 8
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue input bandwidth 70 30
mls qos srr-queue input threshold 1 80 90
mls qos srr-queue input priority-queue 2 bandwidth 30
mls qos srr-queue input cos-map queue 1 threshold 2 3
mls qos srr-queue input cos-map queue 1 threshold 3 6 7
mls qos srr-queue input cos-map queue 2 threshold 1 4
mls qos srr-queue input dscp-map queue 1 threshold 2 24
mls qos srr-queue input dscp-map queue 1 threshold 3 48 49 50 51
52 53 54 55
mls qos srr-queue input dscp-map queue 1 threshold 3 56 57 58 59
60 61 62 63
mls qos srr-queue input dscp-map queue 2 threshold 3 32 33 40 41
42 43 44 45
mls qos srr-queue input dscp-map queue 2 threshold 3 46 47
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
附录B: 配置示例
42
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41
42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19
20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29
30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51
52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59
60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5
6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13
15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 3200
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20
mls qos
!
crypto pki trustpoint TP-self-signed-251756672
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-251756672
revocation-check none
rsakeypair TP-self-signed-251756672
!
!
crypto pki certificate chain TP-self-signed-251756672
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101
04050030
2012年8月系列
30312E30 2C060355
43657274
69666963 6174652D
30303134
305A170D 32303031
1325494F
532D5365 6C662D53
31373536
36373230 819F300D
02818100
CA14A219 7FA6622E
A25B8563
2E47DA39 EB1196A3
F2E879A7
B69D3FE4 D13F02E9
1F8C607C
868634F1 0ED135D0
7AC0CD1F
02030100 01A37430
0603551D
11041830 16821453
1F060355
1D230418 30168014
301D0603
551D0E04 160414D4
0D06092A
864886F7 0D010104
CE73AAC7
18989520 B81E4F76
C998576C
2A293FB3 423B8BD8
2A5BB9CB
3FE4C6FC 8D89C53D
4145A292
CE13AD61 3F98E889
quit
!
04031325 494F532D 53656C66 2D536967 6E65642D
32353137 35363637 32301E17 0D393330 33303130
30313030 30303030 5A303031 2E302C06 03550403
69676E65 642D4365 72746966 69636174 652D3235
06092A86 4886F70D 01010105 0003818D 00308189
F990AD57 DF6A6519 780FBAA9 94125F0B 4E7B5372
7AA22F9D D57285A4 26AB9B08 D206A82B 46E8CB5D
A88E7FE3 45633919 2F18FAD2 702110FE C15D66FB
3DD13542 EB55BB54 9A29035B 04A890FE 7D549125
72300F06 03551D13 0101FF04 05300301 01FF301F
52333735 3058792E 63697363 6F2E6C6F 63616C30
D41E475F 147873CA 89672DE8 3EDF7158 E28C0520
1E475F14 7873CA89 672DE83E DF7158E2 8C052030
05000381 810055FA 40B53155 FDCE6DE8 4EE26E23
C7FA39EC 383EACBC F6ABA9E9 9127073C B6BA9E99
31F9672D 4E588567 5B72DE62 D82F8FF4 BB6E2976
EDC97BA9 B9B74629 227BD399 7F010E4F 2ADDBB04
0BE22F49 D071
附录B: 配置示例
43
!
!
!
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 154-155 priority 24576
auto qos srnd4
!
!
!
port-channel load-balance src-dst-ip
!
vlan internal allocation policy ascending
!
vlan 115
name ManagementVLAN
!
vlan 148
name Server_VLAN_1
!
vlan 149
name ACE
!
vlan 153
name Firewall_Outside_VLAN
!
vlan 154
name Firewall_Secure_VLAN
!
vlan 155
name Firewall_with_IPS_Secure_VLAN
!
vlan 999
name NATIVE
!
ip ssh version 2
2012年8月系列
!
!
!
macro name AccessEdgeQoS
auto qos voip cisco-phone
@
macro name EgressQoS
mls qos trust dscp
queue-set 1
srr-queue bandwidth share 1 30 35 5
priority-queue out
@
!
!
interface Port-channel7
description EtherChannel Link to LAN Core
switchport trunk encapsulation dot1q
switchport trunk native vlan 999
switchport trunk allowed vlan 115,148,149,153
switchport mode trunk
logging event link-status
!
interface Port-channel21
description ACE
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 148
switchport mode trunk
!
interface Port-channel22
description P2-WAAS-HE
switchport access vlan 148
!
interface Port-channel33
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 149,912
switchport mode trunk
!
附录B: 配置示例
44
interface FastEthernet0
no ip address
shutdown
!
interface GigabitEthernet1/0/1
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet1/0/2
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet1/0/3
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet1/0/4
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
2012年8月系列
35 5
35 5
35 5
35 5
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/5
description Connection to C210y
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/6
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/7
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/8
switchport access vlan 148
附录B: 配置示例
45
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/9
description IE-SSP45a
switchport access vlan 115
switchport mode access
spanning-tree portfast
!
!*************************************************************
! Interfaces GigabitEthernet 1/0/10 to 1/0/19 are
! configured the same way and have been removed for brevity
!*************************************************************
!
interface GigabitEthernet1/0/20
description SR-5500X-IPSa
switchport access vlan 115
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/21
description ace4710 g1/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 149,912
switchport mode trunk
channel-group 33 mode on
!
interface GigabitEthernet1/0/22
description ace4710 g1/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 149,912
switchport mode trunk
2012年8月系列
channel-group 33 mode on
!
interface GigabitEthernet1/0/23
description SR-ASA5540a outside gig 0/3
switchport access vlan 153
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet1/0/24
description SR-ASA5540a inside gig 0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 154,155
switchport mode trunk
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS
auto qos trust dscp
spanning-tree portfast trunk
!
interface GigabitEthernet1/1/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 999
switchport trunk allowed vlan 115,148,149,153
switchport mode trunk
logging event link-status
logging event trunk-status
logging event bundle-status
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS | EgressQoS
附录B: 配置示例
46
channel-protocol lacp
channel-group 7 mode active
!
interface GigabitEthernet1/1/2
!
interface GigabitEthernet1/1/3
!
interface GigabitEthernet1/1/4
!
interface TenGigabitEthernet1/1/1
!
interface TenGigabitEthernet1/1/2
!
interface GigabitEthernet2/0/1
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/2
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/3
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
2012年8月系列
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/4
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet2/0/5
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/6
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet2/0/7
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30
priority-queue out
35 5
35 5
35 5
35 5
附录B: 配置示例
47
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet2/0/8
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet2/0/9
description IE-SSP45b
switchport access vlan 115
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
auto qos trust dscp
spanning-tree portfast
!
!*************************************************************
! Interfaces GigabitEthernet 2/0/10 to 2/0/19 are
! configured the same way and have been removed for brevity
!*************************************************************
!
interface GigabitEthernet2/0/20
description SR-5500X-IPSb
switchport access vlan 115
switchport mode access
spanning-tree portfast
!
2012年8月系列
interface GigabitEthernet2/0/21
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/22
description waas-he G2/0
switchport access vlan 148
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS
spanning-tree portfast
!
interface GigabitEthernet2/0/23
description SR-ASA5540b outside gig 0/3
switchport access vlan 153
switchport mode access
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS
auto qos trust dscp
spanning-tree portfast
!
interface GigabitEthernet2/0/24
description SR-ASA5540b inside gig 0/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 154,155
switchport mode trunk
srr-queue bandwidth share 1 30 35 5
priority-queue out
附录B: 配置示例
48
mls qos trust dscp
macro description EgressQoS | EgressQoS
auto qos trust dscp
spanning-tree portfast trunk
!
interface GigabitEthernet2/1/1
description Link to LAN Core 2
switchport trunk encapsulation dot1q
switchport trunk native vlan 999
switchport trunk allowed vlan 115,148,149,153
switchport mode trunk
logging event link-status
logging event trunk-status
logging event bundle-status
srr-queue bandwidth share 1 30 35 5
priority-queue out
mls qos trust dscp
macro description EgressQoS | EgressQoS | EgressQoS
channel-protocol lacp
channel-group 7 mode active
!
interface GigabitEthernet2/1/2
!
interface GigabitEthernet2/1/3
!
interface GigabitEthernet2/1/4
!
interface TenGigabitEthernet2/1/1
!
interface TenGigabitEthernet2/1/2
!
interface Vlan1
no ip address
!
interface Vlan115
ip address 10.8.15.61 255.255.255.128
!
2012年8月系列
interface Vlan148
no ip address
!
ip default-gateway 10.8.15.1
no ip http server
ip http authentication aaa
ip http secure-server
!
!
ip sla enable reaction-alerts
logging esm config
snmp-server community cisco RO 55
snmp-server community cisco123 RW 55
tacacs server TACACS-SERVER-1
address ipv4 10.8.48.15
key 7 *****
!
!
!
!
line con 0
exec-timeout 360 0
logging synchronous
line vty 0 4
length 0
transport preferred none
transport input ssh
line vty 5 15
transport preferred none
transport input ssh
!
ntp server 10.8.48.17
end
Cisco ASA 5500-X防火墙—主用
服务器机房Cisco ASA 5500-X主用防火墙与另一个Cisco ASA 5500-X防
火墙以主用/备用对的形式运行，以提供永续的防火墙对。
附录B: 配置示例
49
ASA Version 8.6(1)
!
hostname SR-ASA5500X
domain-name cisco.local
enable password ***** encrypted
passwd 2***** encrypted
names
!
interface GigabitEthernet0/0
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/0.154
vlan 154
nameif SRVLAN154
security-level 100
ip address 10.8.54.1 255.255.255.0 standby 10.8.54.2
!
interface GigabitEthernet0/0.155
vlan 155
nameif SRVLAN155
security-level 100
ip address 10.8.55.1 255.255.255.0 standby 10.8.55.2
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
description LAN/STATE Failover Interface
!
interface GigabitEthernet0/3
nameif outside
security-level 0
2012年8月系列
ip address 10.8.53.126 255.255.255.128 standby 10.8.53.125
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
!*************************************************************
! Interfaces GigabitEthernet0/5 to 0/7 are
! configured the same way and have been removed for brevity
!*************************************************************
!
interface Management0/0
nameif IPS-mgmt
security-level 0
no ip address
management-only
!
ftp mode passive
clock timezone PST -8
clock summer-time PDT recurring
dns server-group DefaultDNS
domain-name cisco.local
object network Secure-Subnets
subnet 10.8.54.0 255.255.255.0
object network SecureIPS-Subnets
subnet 10.8.55.0 255.255.255.0
object network Mgmt-host-range
range 10.8.48.224 10.8.48.254
object-group network SF_Secure_Subnet_List
network-object object Secure-Subnets
network-object object SecureIPS-Subnets
object-group service Mgmt-Traffic
service-object tcp destination eq ssh
service-object udp destination eq snmp
access-list global_access extended permit object-group Mgmt-
附录B: 配置示例
50
Traffic object Mgmt-host-range object-group SF_Secure_Subnet_List
access-list global_access extended deny object-group Mgmt-Traffic
any any
access-list SFVLAN155_mpc extended permit ip any any
pager lines 24
logging enable
logging buffered informational
mtu SRVLAN154 1500
mtu SRVLAN155 1500
mtu outside 1500
mtu IPS-mgmt 1500
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5
failover key *****
failover replication http
failover link failover GigabitEthernet0/2
failover interface ip failover 10.8.53.130 255.255.255.252
standby 10.8.53.129
monitor-interface SRVLAN154
monitor-interface SRVLAN155
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.8.53.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
2012年8月系列
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (outside) host 10.8.48.15 key *****
user-identity default-domain LOCAL
aaa authentication enable console AAA-SERVER LOCAL
aaa authentication ssh console AAA-SERVER LOCAL
aaa authentication http console AAA-SERVER LOCAL
aaa authentication serial console AAA-SERVER LOCAL
aaa authorization exec authentication-server
http server enable
http 10.8.0.0 255.254.0.0 outside
http 10.8.48.0 255.255.255.0 outside
snmp-server host outside 10.8.48.35 community *****
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown
coldstart warmstart
telnet timeout 5
ssh 10.8.0.0 255.254.0.0 outside
ssh 10.8.48.0 255.255.255.0 outside
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.8.48.17
webvpn
username admin password ***** encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
class-map SFVLAN155-class
match access-list SFVLAN155_mpc
!
policy-map type inspect dns preset_dns_map
parameters
附录B: 配置示例
51
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
policy-map SFVLAN155-policy
class SFVLAN155-class
ips inline fail-close
!
service-policy global_policy global
service-policy SFVLAN155-policy interface SRVLAN155
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/
oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly 1
2012年8月系列
subscribe-to-alert-group configuration periodic monthly 1
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:318cebd83061e26e99fda1d79bd3ad77
: end
Cisco ASA 5500-X IPS—主用
服务器机房Cisco ASA 5500-X主用IPS与另一个Cisco ASA 5500-X IPS
以主用/备用对的形式运行。
! Version 7.1(4)
! Host:
!
Realm Keys
key1.0
! Signature Definition:
!
Signature Update
S615.0
! -----------------------------service interface
exit
! -----------------------------service authentication
exit
! -----------------------------service event-action-rules rules0
overrides deny-packet-inline
override-item-status Enabled
risk-rating-range 100-100
exit
exit
! -----------------------------service host
network-settings
host-ip 10.8.15.21/25,10.8.15.1
host-name SF-IPS-A
telnet-option disabled
access-list 10.8.48.0/24
dns-primary-server enabled
address 10.8.48.10
exit
2012-01-03
附录B: 配置示例
52
dns-secondary-server disabled
dns-tertiary-server disabled
exit
time-zone-settings
offset -480
standard-time-zone-name GMT-08:00
exit
ntp-option enabled-ntp-unauthenticated
ntp-server 10.8.48.17
exit
summertime-option recurring
summertime-zone-name UTC
exit
exit
! -----------------------------service logger
exit
! -----------------------------service network-access
exit
! -----------------------------service notification
exit
! -----------------------------service signature-definition sig0
exit
! -----------------------------service ssh-known-hosts
exit
! -----------------------------service trusted-certificates
exit
! -----------------------------service web-server
exit
! -----------------------------service anomaly-detection ad0
2012年8月系列
exit
! -----------------------------service external-product-interface
exit
! -----------------------------service health-monitor
exit
! -----------------------------service global-correlation
network-participation partial
exit
! -----------------------------service aaa
exit
! -----------------------------service analysis-engine
virtual-sensor vs0
physical-interface PortChannel0/0
exit
Cisco ASA 5500-X防火墙—备用
服务器机房Cisco ASA 5500-X备用防火墙与主用Cisco ASA 5500-X防火
墙以主用/备用对的形式运行，以提供永续的防火墙对。
ASA Version 8.6(1)
!
hostname SR-ASA5500X
domain-name cisco.local
enable password ***** encrypted
passwd ***** encrypted
names
!
interface GigabitEthernet0/0
no nameif
no security-level
no ip address
!
附录B: 配置示例
53
interface GigabitEthernet0/0.154
vlan 154
nameif SRVLAN154
security-level 100
ip address 10.8.54.1 255.255.255.0 standby 10.8.54.2
!
interface GigabitEthernet0/0.155
vlan 155
nameif SRVLAN155
security-level 100
ip address 10.8.55.1 255.255.255.0 standby 10.8.55.2
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
description LAN/STATE Failover Interface
!
interface GigabitEthernet0/3
nameif outside
security-level 0
ip address 10.8.53.126 255.255.255.128 standby 10.8.53.125
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
!*************************************************************
! Interfaces GigabitEthernet0/5 to 0/7 are
! configured the same way and have been removed for brevity
!*************************************************************
!
2012年8月系列
interface Management0/0
nameif IPS-mgmt
security-level 0
no ip address
management-only
!
ftp mode passive
clock timezone PST -8
clock summer-time PDT recurring
dns server-group DefaultDNS
domain-name cisco.local
object network Secure-Subnets
subnet 10.8.54.0 255.255.255.0
object network SecureIPS-Subnets
subnet 10.8.55.0 255.255.255.0
object network Mgmt-host-range
range 10.8.48.224 10.8.48.254
object-group network SF_Secure_Subnet_List
network-object object Secure-Subnets
network-object object SecureIPS-Subnets
object-group service Mgmt-Traffic
service-object tcp destination eq ssh
service-object udp destination eq snmp
access-list global_access extended permit object-group MgmtTraffic object Mgmt-host-range object-group SF_Secure_Subnet_List
access-list global_access extended deny object-group Mgmt-Traffic
any any
access-list SFVLAN155_mpc extended permit ip any any
pager lines 24
logging enable
logging buffered informational
mtu SRVLAN154 1500
mtu SRVLAN155 1500
mtu outside 1500
mtu IPS-mgmt 1500
failover
failover lan unit secondary
附录B: 配置示例
54
failover lan interface failover GigabitEthernet0/2
failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5
failover key *****
failover replication http
failover link failover GigabitEthernet0/2
failover interface ip failover 10.8.53.130 255.255.255.252
standby 10.8.53.129
monitor-interface SRVLAN154
monitor-interface SRVLAN155
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.8.53.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sipdisconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (outside) host 10.8.48.15 key *****
user-identity default-domain LOCAL
aaa authentication enable console AAA-SERVER LOCAL
aaa authentication ssh console AAA-SERVER LOCAL
aaa authentication http console AAA-SERVER LOCAL
aaa authentication serial console AAA-SERVER LOCAL
aaa authorization exec authentication-server
http server enable
http 10.8.0.0 255.254.0.0 outside
http 10.8.48.0 255.255.255.0 outside
snmp-server host outside 10.8.48.35 community *****
no snmp-server location
2012年8月系列
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown
coldstart warmstart
telnet timeout 5
ssh 10.8.0.0 255.254.0.0 outside
ssh 10.8.48.0 255.255.255.0 outside
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.8.48.17
webvpn
username admin password ***** encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
class-map SFVLAN155-class
match access-list SFVLAN155_mpc
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
附录B: 配置示例
55
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
policy-map SFVLAN155-policy
class SFVLAN155-class
ips inline fail-close
!
service-policy global_policy global
service-policy SFVLAN155-policy interface SRVLAN155
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/
oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly 1
subscribe-to-alert-group configuration periodic monthly 1
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:f76a9df4fdee4e279e0bcf1d486a7b3b
: end
Cisco ASA 5500-X IPS—备用
服务器机房Cisco ASA 5500-X备用IPS与主用Cisco ASA 5500-X IPS以
主用/备用对的形式运行。
! Version 7.1(4)
! Host:
!
Realm Keys
! Signature Definition:
2012年8月系列
key1.0
!
Signature Update
S615.0
2012-01-03
! -----------------------------service interface
exit
! -----------------------------service authentication
exit
! -----------------------------service event-action-rules rules0
overrides deny-packet-inline
override-item-status Enabled
risk-rating-range 100-100
exit
exit
! -----------------------------service host
network-settings
host-ip 10.8.15.22/25,10.8.15.1
host-name SF-IPS-B
telnet-option disabled
access-list 10.8.48.0/24
dns-primary-server enabled
address 10.8.48.10
exit
dns-secondary-server disabled
dns-tertiary-server disabled
exit
time-zone-settings
offset -480
standard-time-zone-name GMT-08:00
exit
ntp-option enabled-ntp-unauthenticated
ntp-server 10.8.48.17
exit
summertime-option recurring
summertime-zone-name UTC
exit
附录B: 配置示例
56
! -----------------------------service logger
exit
! -----------------------------service network-access
exit
! -----------------------------service notification
exit
! -----------------------------service signature-definition sig0
exit
! -----------------------------service ssh-known-hosts
exit
! -----------------------------service trusted-certificates
exit
! -----------------------------service web-server
exit
! -----------------------------service anomaly-detection ad0
exit
! -----------------------------service external-product-interface
exit
! -----------------------------service health-monitor
exit
! -----------------------------service global-correlation
network-participation partial
exit
! -----------------------------service aaa
exit
2012年8月系列
! -----------------------------service analysis-engine
virtual-sensor vs0
physical-interface PortChannel0/0
exit
附录B: 配置示例
57
附录 C: 变更
本附录总结了相比先前的思科IBA智能业务平台系列，本指南所做的变更。
•这一新的部署指南专门关注服务器机房部署。先前的服务器机房部署详细信
息包括在《面向中小企业的思科IBA智能业务平台——无边界网络基础部署指
南》中。.
•“ 服务器机房以太网局域网”部署部分现在是一个完整的独立章节，其中包
括了配置服务器机房Cisco Catalyst局域网交换机的所有要求。
“服务器机
房安全”章节已进行了更改，专门关注面向服务器机房部署的防火墙和IPS配
置。
•“ 服务器负载均衡”章节已经从《面向中小企业的思科IBA智能业务平
台——无边界网络基础部署指南》移至独立的部署指南《思科IBA智能业务平
台——数据中心高级服务器负载均衡部署指南》中。
2012年8月系列
附录 C: 变更
58
反馈
点击 这里 提供反馈到IBA
本手册中的所有设计、规格、陈述、信息和建议(统称为“设计”)均按“原样”提供,可能包含错误信息。思科及其供应商不提供任何保证,包括但不限于适销性、适合特定用途和非侵权保证,或与交易过程、
使用或贸易惯例相 关的保证。在任何情况下,思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任,包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害,即
使思科或其供应商已被告知存在此类损害 的可能性。这些设计如有更改,恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户
在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因 素可能导致结果有所不同。
文中使用的任何互联网协议(IP)地址均非真实地址。文中的任何举例、命令显示输出和图示仅供说明之用。在图示中使用任何真实IP 地址均属无意和巧合。
© 2012 思科系统公司。保留所有权利。
美国总部
Cisco Systems, Inc.
San Jose, CA
亚太总部
Cisco Systems (USA) Pte. Ltd.
Singapore
欧洲总部
Cisco Systems International BV Amsterdam,
The Netherlands
思科在全球拥有超过200家办公室。地址，电话号码和传真在思科网站中列出： www.cisco.com/go/offices。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The
use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)