第1页 / 共1306页
第2页 / 共1306页
第3页 / 共1306页
第4页 / 共1306页
第5页 / 共1306页
第6页 / 共1306页
第7页 / 共1306页
第8页 / 共1306页
思科ASA 系列常规操作CLI 配置指南9.9版本.pdf
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
目录
关于本指南
文档目标
相关文档
文档约定
获取文档和提交服务请求
ASA 入门
思科 ASA 简介
硬件和软件兼容性
VPN 兼容性
新功能
ASA 9.9(2) 的新功能
ASA 9.9(1) 的新功能
防火墙功能概述
安全策略概述
通过访问规则允许或拒绝流量
应用 NAT
保护 IP 片段
应用 HTTP、HTTPS 或 FTP 过滤
应用应用检测
将流量发送到支持的硬件或软件模块
应用 QoS 策略
应用连接限制和 TCP 规范化
启用威胁检测
防火墙模式概览
状态监测概览
VPN 功能概述
安全情景概述
ASA 集群概述
特殊服务和传统服务
使用入门
访问命令行界面的控制台
访问设备控制台
访问 Firepower 2100 控制台
访问 Firepower 4100/9300 机箱上的 ASA 控制台
访问 ASA 服务模块控制台
关于连接方法
登录到 ASA 服务模块
注销控制台会话
断开活动控制台连接
注销 Telnet 会话
访问软件模块控制台
访问 ASA 5506W-X 无线接入点控制台
配置 ASDM 访问
使用出厂默认配置进行 ASDM 访问(设备、ASAv)
自定义 ASDM 访问
为 ASA 服务模块配置 ASDM 访问
启动 ASDM
出厂默认配置
恢复出厂默认配置
恢复 ASAv 部署配置
ASA 5506-X 系列默认配置
ASA5508-X 和 5516-X 默认配置
ASA 5512-X、5515-X、5525-X 及更高型号默认配置
Firepower 2100 上的 ASA 的默认配置
Firepower 4100/9300 机箱默认配置上的 ASA
ISA 3000 的默认配置
ASAv 部署配置
处理配置
保存配置更改
在单情景模式下保存配置更改
在多情景模式下保存配置更改
分别保存每个情景和系统
同时保存所有情景配置
将启动配置复制到运行配置
查看配置
清除和删除配置设置
离线创建文本配置文件
将配置更改应用于连接
重新加载 ASA
许可证:产品授权密钥许可
关于 PAK 许可证
预安装的许可证
永久许可证
基于时间的许可证
基于时间的许可证激活准则
基于时间的许可证计时器工作方式
永久许可证与基于时间的许可证的合并方式
堆叠基于时间的许可证
基于时间的许可证到期
许可证说明
AnyConnect Plus 版和 Apex 版许可证
其他 VPN 许可证
合并后的各个类型的 VPN 会话总数
VPN 负载均衡
传统 VPN 许可证
加密许可证
Carrier 许可证
TLS 代理会话总数
最大 VLAN 数量
僵尸网络流量过滤器许可证
IPS 模块许可证
共享 AnyConnect 高级许可证(AnyConnect 3 及更早版本)
故障切换或 ASA 集群许可证
故障切换许可证要求和特例
ASA 集群许可证要求和特例
故障切换或 ASA 集群许可证的合并方式
故障切换或 ASA 集群设备之间的通信丢失
升级故障切换对
无负载加密型号
许可证 FAQ
PAK 许可证指南
配置 PAK 许可证
订购许可证 PAK 并获取激活密钥
获取强加密许可证
激活或停用密钥
配置共享许可证(AnyConnect 3 及更早版本)
关于共享许可证
关于共享许可服务器和参与者
参加者和服务器之间的通信问题
关于共享许可备用服务器
故障切换和共享许可证
故障切换和共享许可证服务器
故障切换和共享许可证参与者
最大参与者数
配置共享许可服务器
配置共享许可备份服务器(可选)
配置共享许可参与者
每个型号支持的功能许可证
每个型号的许可证
ASA 5506-X 和 ASA 5506W-X 许可证功能
ASA 5506H-X 许可证功能
ASA 5508-X 许可证功能
ASA 5512-X 许可证功能
ASA 5515-X 许可证功能
ASA 5516-X 许可证功能
ASA 5525-X 许可证功能
ASA 5545-X 许可证功能
ASA 5555-X 许可功能
带 SSP-10 的 ASA 5585-X 许可证功能
带 SSP-20 的 ASA 5585-X 许可证功能
带 SSP-40 和 SSP-60 的 ASA 5585-X 的许可证功能
ASASM 许可证功能
ISA 3000 许可证功能
监控 PAK 许可证
查看当前许可证
监控共享许可证
PAK 许可证的历史
许可证:智能软件许可(ASAv 和 Firepower 上的 ASA)
关于智能软件许可
Firepower 4100/9300 上的 ASA 的智能软件许可 Firepower 4100/9300 机箱
智能软件管理器和帐户
离线管理
永久许可证保留
Firepower 2100 和 Firepower 4100/9300 机箱的卫星服务器 Firepower 4100/9300 机箱
按虚拟帐户管理的许可证和设备
评估许可证
智能软件管理器通信
设备注册和令牌
与许可证颁发机构的定期通信
不合规状态
Smart Call Home 基础设施
智能许可证证书管理
许可证说明。
AnyConnect Plus 版和 Apex 版许可证
其他 VPN 许可证
合并后的各个类型的 VPN 会话总数
加密许可证
运营商许可证
TLS 代理会话总数
最大 VLAN 数量
僵尸网络流量过滤器许可证
故障切换或 ASA 集群许可证
ASAv 的故障切换许可证
适用于 Firepower 2100 的故障切换许可证
Firepower 4100/9300 机箱上适用于 ASA 的故障切换许可证
Firepower 4100/9300 机箱 上 ASA 的 ASA 集群许可证
智能软件许可必备条件
智能软件许可指南
智能软件许可的默认设置
ASAv:配置智能软件许可
ASAv:配置常规智能软件许可
配置许可并注册 ASAv
(可选)取消注册 ASAv
(可选)更新 ASAv ID 证书或许可证授权
ASAv:配置永久许可证保留
安装 ASAv 永久许可证
(可选)返还 ASAv 永久许可证
Firepower 2100:配置智能软件许可
Firepower 2100:配置常规智能软件许可
Firepower 2100:配置卫星智能软件许可
Firepower 2100:配置永久许可证预留
安装 Firepower 2100 永久许可证
(可选)退回 Firepower 2100 永久许可证
(可选)注销 Firepower 2100(常规和卫星)
(可选)续订 Firepower 2100 ID 证书或许可证授权(常规和卫星)
Firepower 4100/9300 机箱:配置智能软件许可
每个型号的许可证
ASAv
Firepower 2100 系列
Firepower 4100 系列 ASA 应用程序
Firepower 9300 ASA 应用
监控智能软件许可
查看当前许可证
查看智能许可证状态
查看 UDI
调试智能软件许可
智能软件许可历史记录
透明或路由防火墙模式
关于防火墙模式
关于路由防火墙模式
关于透明防火墙模式
在网络中使用透明防火墙
管理接口
允许路由模式功能通过流量
关于网桥组
网桥虚拟接口 (BVI)
透明防火墙模式下的网桥组
路由防火墙模式下的网桥组
传递路由模式下不允许的流量
允许第 3 层流量
允许的 MAC 地址
BPDU 处理
MAC 地址与路由查找
透明模式下网桥组不支持的功能
路由模式下网桥组不支持的功能
默认设置
防火墙模式指南
设置防火墙模式
防火墙模式示例
在路由防火墙模式下数据通过 ASA 的方式
内部用户访问 Web 服务器
外部用户访问 DMZ 上的 Web 服务器
内部用户访问 DMZ 上的 Web 服务器
外部用户尝试访问内部主机
DMZ 用户尝试访问内部主机
数据如何通过透明防火墙
内部用户访问 Web 服务器
内部用户使用 NAT 访问 Web 服务器
外部用户访问内部网络上的 Web 服务器
外部用户尝试访问内部主机
防火墙模式历史记录
高可用性和可扩展性
多情景模式
关于安全情景
安全情景的公共用途
情景配置文件
情景配置
系统配置
管理情景配置
ASA 如何对数据包分类
有效分类器条件
唯一接口
唯一 MAC 地址
NAT 配置
分类示例
级联安全情景
对安全情景的管理访问
系统管理员访问
情景管理员访问
关于资源管理
资源类
资源限制
默认类
使用超订用资源
使用不受限制的资源
关于 MAC 地址
多情景模式下的 MAC 地址
自动 MAC 地址
VPN 支持
多情景模式许可
多情景模式的先决条件
多情景模式指南
多情景模式默认设置
配置多情景
启用或禁用多情景模式
启用多情景模式
恢复单情景模式
配置用于资源管理的类
配置安全情景
自动为情景接口分配 MAC 地址
在情景和系统执行空间之间更改
管理安全情景
删除安全情景
更改管理情景
更改安全情景 URL
重新加载安全情景
通过清除配置来重新加载
通过删除和重新添加情景来重新加载
监控安全情景
查看情景信息
查看资源分配
查看资源使用情况
监控情景中的 SYN 攻击
查看分配的 MAC 地址
在系统配置中查看 MAC 地址
查看情景中的 MAC 地址
多情景模式示例
多情景模式的历史
为实现高可用性执行故障切换
关于故障切换
故障切换模式
故障切换 系统要求
硬件要求
软件要求
许可证要求
故障切换和状态故障切换链路
故障切换链路
故障切换链路数据
故障切换链路接口
连接故障切换链路
有状态故障切换链路
共享故障切换链路
的专用接口
避免中断故障切换和数据链路
故障切换中的 MAC 地址和 IP 地址
ASA 服务模块的机箱内和机箱间模块放置
机箱内故障切换
机箱间故障切换
无状态故障切换和有状态故障切换
无状态故障切换
状态故障切换
支持的功能
不支持的功能
故障切换的网桥组要求
ASAv 设备的桥组要求
ASA 服务模块的桥组要求
故障切换运行状态监控
设备运行状况监控
接口监控
接口测试
接口状态
故障切换时间
配置同步
运行配置复制
文件复制
命令复制
关于主用/备用故障切换
主/辅助角色和主用/备用状态
启动时的主用设备确定
故障切换事件
关于主用/主用故障切换
主用/主用故障切换概述
故障切换组的主/辅助角色和主用/备用状态
启动时的故障切换组主用设备确定
故障切换事件
故障切换许可
故障切换 指南
故障切换的默认设置
配置主用/备用故障切换
为主用/备用故障切换配置主设备
为主用/备用故障切换配置辅设备
配置主用/主用故障切换
为主用/主用故障切换配置主设备
为主用/主用故障切换配置辅助设备
配置可选故障切换参数
配置故障切换条件和其他设置
配置接口监控
配置非对称路由数据包支持(主用/主用模式)
管理故障切换
强制故障切换
禁用故障切换
恢复故障设备
重新同步配置
测试故障切换功能
远程命令执行
发送命令
更改命令模式
安全注意事项
远程命令执行的限制
监控故障切换
故障切换消息
故障切换系统日志消息
故障切换调试消息
SNMP 故障切换陷阱
监控故障切换状态
故障切换的历史
公共云中的高可用性故障切换
关于公共云中的故障切换
关于主用/备份故障切换
主/辅助角色和主用/备份状态
故障切换连接
轮询和 Hello 消息
启动时的主用设备确定
故障切换事件
规定和限制
公共云中的故障切换许可
公共云中的故障切换的默认设置
关于 Microsoft Azure 中的 ASAv 高可用性
关于 Azure 服务主体
Azure 中 ASAv 高可用性的配置要求
配置主用/备份故障切换
配置主用/备份故障切换的主设备
配置主用/备份故障切换的辅助设备
配置可选故障切换参数
配置故障切换条件和其他设置
配置 Azure 服务主体的身份验证凭证
配置 Azure 路由表
启用主用/备份故障切换
启用主用/备份故障切换的主设备
启用主用/备份故障切换的辅助设备
管理公共云中的故障切换
强制故障切换
更新路由
验证 Azure 身份验证
监控公共云中的故障切换
故障切换状态
故障切换消息
公共云中的故障切换历史记录
ASA 集群
关于 ASA 集群
ASA 集群如何融入网络中
性能换算系数
集群成员
引导程序配置
主设备角色和从属设备角色
主设备选择
集群接口
群集控制链接
ASA 集群中的高可用性
设备运行状况监控
接口监控
发生故障后的状态
重新加入集群
数据路径连接状态复制
配置复制
ASA 集群管理
管理网络
管理接口
主设备管理与从属设备管理
RSA 密钥复制
ASDM 连接证书 IP 地址不匹配
站点间集群
ASA 集群如何管理连接
连接角色
新连接所有权
数据流示例
跨集群实现新 TCP 连接再均衡
ASA 功能和集群
集群不支持的功能
集群集中化功能
应用到单台设备的功能
用于网络访问的 AAA 和集群
FTP 和集群
身份防火墙和集群
组播路由和集群
跨网络 EtherChannel 模式下的组播路由
独立接口模式下的组播路由
NAT 和集群
动态路由和集群
跨网络 EtherChannel 模式下的动态路由
独立接口模式下的动态路由
SCTP 和集群
SIP 检测和集群
SNMP 和集群
STUN 和集群
系统日志与 NetFlow 和集群
思科 TrustSec 和集群
VPN 和集群
适用于 ASA 集群的许可证
ASA 集群要求
ASA 集群准则
ASA 集群的默认设置
配置 ASA 集群
连接设备并配置接口
关于集群接口
关于集群控制链路
集群控制链路流量概述
集群控制链路接口和网络
设定的集群控制链路大小
的集群控制链路冗余
的集群控制链路可靠性
集群控制链路故障
跨网络 EtherChannel(建议)
跨网络 EtherChannel 的优势
最大吞吐量指南
负载均衡
EtherChannel 冗余
连接到 VSS 或 vPC
独立接口(仅适用于路由防火墙模式)
基于策略的路由(仅路由防火墙模式)
同等成本的多路径路由(仅路由防火墙模式)
Nexus 智能流量导向器(仅限路由防火墙模式)
使用电缆连接集群设备并配置上游和下游设备
在每台设备上配置集群接口模式
在主设备上配置接口
配置单个接口(推荐用于管理接口)
配置跨网络 EtherChannel
创建引导程序配置
配置主设备引导程序设置
配置从属设备引导程序设置
自定义集群操作
配置基本 ASA 集群参数
配置运行状态监控和自动重新加入设置
配置连接再均衡和集群 TCP 复制延迟
启用导向器本地化和站点冗余
配置集群流移动性
关于 LISP 检测
关于 LISP
ASA LISP 支持
LISP 准则
ASA LISP 实施
配置 LISP 检测
管理 ASA 集群成员
变成非活动成员
停用成员
重新加入集群
退出集群
更改主设备
在集群范围内执行命令
监控 ASA 集群
监控集群状态
在集群范围捕获数据包
监控集群资源
监控集群流量
监控集群路由
为集群配置日志记录
监控集群接口
调试集群
ASA 集群示例
ASA 和交换机配置示例
ASA 配置
思科 IOS 交换机配置
单臂防火墙
流量分离
包含备用链路(传统的 8 主用/8 备用)的跨网络 EtherChannel
路由模式站点间集群的 OTV 配置
站点间集群示例
独立接口路由模式南北站点间集群示例
具有站点特定的 MAC 和 IP 地址的跨网络 EtherChannel 路由模式示例
跨网络 EtherChannel 透明模式南北站点间集群示例
跨网络 EtherChannel 透明模式东西站点间集群示例
ASA 集群历史记录
Firepower 4100/9300 机箱 的 ASA 集群
关于 Firepower 4100/9300 机箱上的集群
性能换算系数
引导程序配置
集群成员
主设备角色和从属设备角色
主设备选择
集群接口
连接至 VSS 或 vPC
群集控制链接
集群控制链路网络
集群中的高可用性
机箱应用程序监控
设备运行状况监控
接口监控
修饰符应用监控
发生故障后的状态
重新加入集群
数据路径连接状态复制
配置复制
ASA 集群管理
管理界面
主设备管理与从属设备管理
RSA 密钥复制
ASDM 连接证书 IP 地址不匹配
站点间集群
集群管理连接的方式
连接角色
新连接所有权
数据流示例
ASA 功能和集群
集群不支持的功能
集群集中化功能
应用到单台设备的功能
用于网络访问的 AAA 和集群
FTP 和集群
身份防火墙和集群
组播路由和集群
NAT 和集群
动态路由和集群
SCTP 和集群
SIP 检测和集群
SNMP 和集群
STUN 和集群
系统日志与 NetFlow 和集群
思科 TrustSec 和集群
FXOS 机箱上的 VPN 和集群
Firepower 4100/9300 机箱上的集群要求和必备条件
适用于 Firepower 4100/9300 机箱 上的集群的许可证
分布式 S2S VPN 许可证
Firepower 4100/9300 机箱中的集群指南
在 Firepower 4100/9300 机箱 上配置集群
通过 Firepower 4100/9300 机箱管理引擎部署集群
配置防火墙模式和情景模式
配置数据接口
自定义 ASA 中的集群配置
配置基本 ASA 集群参数
启用导向器本地化和站点冗余
配置运行状态监控和自动重新加入设置
配置连接再均衡和集群 TCP 复制延迟
配置集群流移动性
关于 LISP 检测
关于 LISP
ASA EIGRP 支持
LISP 准则
ASA LISP 实施
配置 LISP 检测
配置分布式站点到站点 VPN
关于分布式站点到站点 VPN
启用分布式 S2S VPN
重新分发分布式 S2S VPN 会话
变成非活动成员
停用成员
重新加入集群
更改主设备
在集群范围内执行命令
监控 Firepower 4100/9300 机箱 上的 ASA 集群
监控集群状态
在集群范围捕获数据包
监控集群资源
监控集群流量
监控集群路由
监控分布式 S2S VPN
为集群配置日志记录
调试集群
对分布式 S2S VPN 进行故障排除
Firepower 4100/9300 机箱上 ASA 集群的历史
接口
基本接口配置
关于基本接口配置
Auto-MDI/MDIX 功能
管理界面
管理接口概览
管理插槽/端口接口
将任何接口用于管理专用流量
透明模式下的管理接口
不支持冗余管理接口
除 ASA 5585-X 之外的所有型号上的管理接口特性
基本接口配置许可
基本接口配置的相关准则
基本接口配置的默认设置
启用物理接口和配置以太网参数
启用巨帧支持
监控接口
基本接口示例
物理接口参数示例
多情景模式示例
基本接口配置历史
EtherChannel 接口和冗余接口
关于 EtherChannel 接口和冗余接口
冗余接口
冗余接口 MAC 地址
EtherChannel
通道组接口
连接到其他设备上的 EtherChannel
链路汇聚控制协议
负载均衡
EtherChannel MAC 地址
EtherChannel 接口和冗余接口指南
EtherChannel 接口和冗余接口的默认设置
配置冗余接口
配置冗余接口
更改主用接口
配置 EtherChannel
将接口添加到 EtherChannel
自定义 EtherChannel
监控 EtherChannel 接口和冗余接口
EtherChannel 接口和冗余接口的示例
EtherChannel 接口和冗余接口历史
VLAN 接口
关于 VLAN 接口
VLAN 接口的许可
VLAN 接口指南
VLAN 接口的默认设置
配置 VLAN 子接口和 802.1Q 中继
监控 VLAN 接口
VLAN 接口示例
VLAN 接口历史记录
VXLAN 接口
关于 VXLAN 接口
VXLAN 封装
VXLAN 隧道端点
VTEP 源接口
VNI 接口
VXLAN 数据包处理
对等体 VTEP
VXLAN 使用案例
VXLAN 网桥或网关概述
VXLAN 网桥
VXLAN 网关(路由模式)
VXLAN 域之间的路由器
VXLAN 接口指南
VXLAN 接口的默认设置
配置 VXLAN 接口
配置 VTEP 源接口
配置 VNI 接口
(可选)更改 VXLAN UDP 端口
监控 VXLAN 接口
VXLAN 接口示例
透明 VXLAN 网关示例
VXLAN 路由示例
VXLAN 接口的历史
路由模式接口和透明模式接口
关于路由和透明模式接口
安全级别
双 IP 堆栈(IPv4 和 IPv6)
31 位子网掩码
31 位子网和集群
31 位子网和故障切换
31 位子网和管理
31 位子网不支持的功能
路由和透明模式接口指南及要求
配置路由模式接口
配置常规路由模式接口参数
配置 PPPoE
配置网桥组接口
配置网桥虚拟接口 (BVI)
配置常规网桥组成员接口参数
为透明模式配置管理接口
配置 IPv6 寻址
关于 IPv6
IPv6 编址
修改的 EUI-64 接口 ID
配置 IPv6 前缀代理客户端
关于 IPv6 前缀授权
IPv6 前缀授权 /64 子网示例
IPv6 前缀委派 /62 子网示例
启用 IPv6 前缀代理客户端
配置全局 IPv6 地址
配置 IPv6 邻居发现
监控路由模式和透明模式接口
接口统计信息和信息
DHCP 信息
PPPoE
IPv6 邻居发现
路由和透明模式接口示例
包括 2 个网桥组的透明模式示例
与2个网桥组的交换LAN网段示例
路由模式和透明模式接口历史记录
高级接口配置
关于高级接口配置
关于 MAC 地址
默认 MAC 地址
自动 MAC 地址
关于 MTU
路径 MTU 发现
默认 MTU
MTU 和分段
MTU 和巨帧
关于 TCP MSS
默认 TCP MSS
建议的最大 TCP MSS 设置
接口间通信
接口内通信(路由防火墙模式)
手动配置 MAC 地址
在多情景模式下自动分配 MAC 地址
配置MTU 和 TCP MSS
允许同一安全级别的通信
高级接口配置历史记录
流量区域
关于流量区域
未分区行为
为什么使用区域?
非对称路由
丢失的路由
负载均衡
每区域连接和路由表
ECMP 路由
未划分区域的 ECMP 支持
划分区域的 ECMP 支持
如何对连接进行负载均衡
回退到另一区域中的路由
基于接口的安全策略
流量区域支持的服务
安全级别
流量的主接口和当前接口
加入或离开区域
区域内流量
流入流量和流出流量
区域内重叠的 IP 地址
流量区域的前提条件
流量区域指南
配置流量区域
监控流量区域
区域信息
区域连接
区域路由
流量区域示例
流量区域的历史
基本设置
基本设置
设置主机名、域名及启用密码和 Telnet 密码
恢复启用密码和 Telnet 密码
恢复 ASA 上的密码
恢复 ASA 5506-X、ASA 5508-X 和 ASA 5516-X 上的密码
在 ASAv 上恢复密码或映像
禁用密码恢复
设置日期和时间
设置时区和夏令时日期
使用 NTP 服务器设置日期和时间
手动设置日期和时间
使用 PTP 同步日期和时间 (ISA 3000)
配置主密码
添加或更改主密码
禁用主密码
删除主口令
配置 DNS 服务器
配置硬件旁路和双重电源(思科 ISA 3000)
调整 ASP(加速安全路径)性能和行为
选择规则引擎交易提交模式
启用 ASP 负载均衡
监控 DNS 缓存
基本设置历史
DHCP 和 DDNS 服务
关于 DHCP 和 DDNS 服务
关于 DHCPv4 服务器
DHCP 选项
关于 DHCPv6 无状态服务器
关于 DHCP 中继代理
关于 DDNS
DDNS 更新配置
UDP 数据包大小
DHCP 和 DDNS 服务准则
配置 DHCP 服务器
启用 DHCPv4 服务器
配置高级 DHCPv4 选项
配置 DHCPv6 无状态服务器
配置 DHCP 中继代理
配置 DHCPv4 中继代理
配置 DHCPv6 中继代理
配置 DDNS
为静态 IP 地址更新 A 和 PTR RR
更新 A 和 PTR RR
忽略对任一 RR 的更新
仅更新 PTR RR
使用客户端更新 RR 和使用服务器更新 PTR RR
监控 DHCP 和 DDNS 服务
监控 DHCP 服务
监控 DDNS 状态
DHCP 和 DDNS 服务的历史
数字证书
关于数字证书
公钥加密
证书可扩展性
密钥对
信任点
证书注册
SCEP 请求的代理
撤销检查
支持的 CA 服务器
CRL
OCSP
本地 CA
本地 CA 文件的存储
本地 CA 服务器
证书和用户登录凭证
用户登录凭证
证书
数字证书指南
配置数字证书
配置密钥对
配置信任点
为信任点配置 CRL
导出或导入信任点配置
配置 CA 证书映射规则
配置引用标识
手动获取证书
使用 SCEP 自动获取证书
为 SCEP 请求配置代理支持
配置 CA 证书有效期
配置用户证书有效期
配置 CRL 有效期
配置服务器密钥长度
如何设置特定整数类型
CA 证书
配置本地 CA 服务器
CA 服务器管理
删除本地 CA 服务器
管理用户证书
启用本地 CA 服务器
配置信任池证书的自动导入
显示 Trustpool 策略的状态
清除 CA Trustpool
自定义本地 CA 服务器
禁用本地 CA 服务器
设置外部本地 CA 文件存储
下载并存储 CRL
注册和用户管理
设置注册参数
添加和注册用户
续签用户
恢复用户
删除用户
吊销证书
设置证书到期警报(对于身份或 CA 证书)
监控数字证书
证书管理历史
的 ARP 检测和 MAC 地址表
关于 ARP 检测和 MAC 地址表
网桥组流量的 ARP 检测
用于网桥组的 MAC 地址表
默认设置
ARP 检测和 MAC 地址表指南
配置 ARP 检测和其他 ARP 参数
添加静态 ARP 条目并自定义其他 ARP 参数
启用 ARP 检测
为网桥组自定义 MAC 地址表
为网桥组添加静态 MAC 地址
设置 MAC 地址超时
禁用 MAC 地址获悉
监控 ARP 检测和 MAC 地址表
ARP 检测和 MAC 地址表历史
IP 路由
路由概述
确定路径
支持的路由类型
静态与动态
单路径与多路径
平面与分层
链路状态与距离矢量
路由在 ASA 中的行为方式
确定出口接口
下一跳选择过程
ECMP 路由
支持的互联网路由协议
路由表
路由表的填充方式
路由的管理距离
备用路由
如何制定转发决策
动态路由和故障切换
动态路由和集群
跨网络 EtherChannel 模式下的动态路由
独立接口模式下的动态路由
多情景模式下的动态路由
路由资源管理
管理流量的路由表
管理接口识别
禁用代理 ARP 请求
显示路由表
参考
静态和默认路由
关于静态路由和默认路由
默认路由
静态路由
使用到 null0 接口的路由将不必要的流量转发到“黑洞”
路由优先级
透明防火墙模式和网桥组路由
静态路由跟踪
静态和默认路由指南
配置默认路由和静态路由
配置默认路由
配置静态路由
配置静态路由跟踪
监控静态路由或默认路由
静态路由或默认路由示例
静态和默认路由历史
基于策略的路由
关于基于策略的路由
为什么使用基于策略的路由?
同等访问权限和源敏感路由
服务质量
成本节约
负载分担
实施 PBR
基于策略的路由指南
配置基于策略的路由
基于策略的路由示例
路由映射配置示例
PBR 配置示例
正在使用的基于策略的路由
基于策略的路由的历史记录
路由映射
关于路由映射
Permit 和 Deny 子句
Match 和 Set 子句值
路由映射准则
定义路由映射
自定义路由映射
定义路由以配置特定的目标地址
为路由操作配置度量值
路由映射示例
路由映射的历史记录
双向转发检测路由
关于 BFD 路由
BFD 异步模式和回应功能
BFD 会话设置
BFD 计时器协商
BFD 故障检测
BFD 部署场景
BFD 路由准则
配置 BFD
创建 BFD 模板
配置 BFD 接口
配置 BFD 映射
BFD 监控
BFD 路由历史
BGP
关于 BGP
何时使用 BGP
路由表更改
BGP 路径选择
BGP 多路径
BGP 准则
配置 BGP
启用 BGP
定义 BGP 路由进程的最佳路径
配置策略列表
配置 AS 路径过滤器
配置社区规则
配置 IPv4 地址系列设置
配置 IPv4 系列常规设置
配置 IPv4 系列聚合地址设置
配置 IPv4 系列过滤设置
配置 IPv4 系列 BGP 邻居设置
配置 IPv4 网络设置
配置 IPv4 重新分发设置
配置 IPv4 路由注入设置
配置 IPv6 地址系列设置
配置 IPv6 系列常规设置
配置 IPv6 系列聚合地址设置
配置 IPv6 系列 BGP 邻居设置
配置 IPv6 网络设置
配置 IPv6 重新分发设置
配置 Ipv6 路由注入设置
监控 BGP
BGP 示例
BGP 历史记录
OSPF
关于 OSPF
快速呼叫数据包 OSPF 支持
OSPF 支持快速呼叫数据包的必备条件
关于快速呼叫数据包的 OSPF 支持
OSPF 呼叫间隔和停顿间隔
OSPF 快速呼叫数据包
OSPF 快速呼叫数据包的优势
OSPFv2 与 OSPFv3 之间的实施差异
OSPF 指南
配置 OSPFv2
配置 OSPFv2 路由器 ID
手动配置 OSPF 路由器 ID
迁移时的路由器 ID 行为
配置 OSPF 快速呼叫数据包
自定义 OSPFv2
将路由重新分发到 OSPFv2 中
配置将路由重新分发到 OSPFv2 时的路由汇总
添加路由汇总地址
配置 OSPFv2 区域之间的路由汇总
配置 OSPFv2 接口参数
配置 OSPFv2 区域参数
配置 OSPFv2 过滤器规则
配置 OSPFv2 NSSA
为集群配置 IP 地址池(OSPFv2 和 OSPFv3)
定义静态 OSPFv2 邻居
配置路由计算计时器
记录邻居启动或关闭
配置 OSPFv3
启用 OSPFv3
配置 OSPFv3 接口参数
配置 OSPFv3 路由器参数
配置 OSPFv3 区域参数
配置 OSPFv3 被动接口
配置 OSPFv3 管理距离
配置 OSPFv3 计时器
定义静态 OSPFv3 邻居
重置 OSPFv3 默认参数
发送系统日志消息
抑制系统日志消息
计算汇总路由成本
生成到 OSPFv3 路由域中的默认外部路由
配置 IPv6 汇总前缀
重新分发 IPv6 路由
配置平稳重启
配置功能
为 OSPFv2 配置无中断重新启动
为 OSPFv2 配置思科 NSF 无中断重新启动
为 OSPFv2 配置 IETF NSF 无中断重新启动
为 OSPFv3 配置无中断重新启动
删除 OSPFv2 配置
删除 OSPFv3 配置
OSPFv2 示例
OSPFv3 示例
监控 OSPF
OSPF 的历史
IS-IS
关于 IS-IS
关于 NET
IS-IS 动态主机名
IS-IS PDU 类型
IS-IS 在多接入回路上的操作
指定 IS 的 IS-IS 选择
IS-IS LSPDB 同步
IS-IS 最短路径计算
IS-IS 关机
IS-IS 必备条件
IS-IS 准则
配置 IS-IS
全局启用 IS-IS 路由
启用 IS-IS 身份验证
配置 IS-IS LSP
配置 IS-IS 汇总地址
配置 IS-IS 被动接口
配置 IS-IS 接口
配置 IS-IS 接口呼叫传送
配置 IS-IS IPv4 地址系列
配置 IS-IS IPv6 地址系列
监控 IS-IS
IS-IS 的历史
IS-IS 示例
EIGRP
关于 EIGRP
EIGRP 准则
配置 EIGRP
启用 EIGRP
启用 EIGRP 末节路由
自定义 EIGRP
为 EIGRP 路由进程定义网络
为 EIGRP 配置接口
配置被动接口
在接口上配置汇总汇聚地址
更改接口延迟值
在接口上启用 EIGRP 身份验证
定义 EIGRP 邻居
将路由重新分发到 EIGRP 中
在 EIGRP 中过滤网络
自定义 EIGRP 呼叫间隔和保持时间
禁用自动路由汇总
配置 EIGRP 中的默认信息
禁用 EIGRP 水平分割
重新启动 EIGRP 进程
EIGRP 监控
EIGRP 示例
EIGRP 历史记录
组播路由
关于组播路由
末节组播路由
PIM 组播路由
PIM 源特定组播支持
PIM 自举路由器 (BSR)
PIM 自举路由器 (BSR) 术语
组播组概念
组播地址
集群
组播路由指南
启用组播路由
自定义组播路由
配置末节组播路由和转发 IGMP 消息
配置静态组播路由
配置 IGMP 功能
禁用接口上的 IGMP
配置 IGMP 组成员身份
配置静态加入的 IGMP 组
控制对组播组的访问
限制接口上的 IGMP 状态数量
修改发送到组播组的查询消息
更改 IGMP 版本
配置 PIM 功能
启用和禁用接口上的 PIM
配置静态交汇点地址
配置指定路由器优先级
配置和过滤 PIM 注册消息
配置 PIM 消息间隔
筛选 PIM 邻居
配置双向邻居过滤器
将 ASA 配置为候选 BSR
配置组播边界
PIM 监控
组播路由示例
组播路由的历史
AAA 服务器和本地数据库
AAA 和本地数据库
关于 AAA 和本地数据库
身份验证
授权
会计
身份验证、授权和记帐之间的交互
AAA 服务器
AAA 服务器组
关于本地数据库
回退支持
组中存在多个服务器时的回退方式
本地数据库准则
在本地数据库中添加用户帐户
监控本地数据库
本地数据库历史记录
用于 AAA 的 RADIUS 服务器
关于用于 AAA 的 RADIUS 服务器
受支持的身份验证方法
VPN 连接的用户授权
支持的 RADIUS 属性集
支持的 RADIUS 授权属性
支持的 IETF RADIUS 授权属性
RADIUS 记帐连接断开原因代码
AAA 的 RADIUS 服务器指南
配置用于 AAA 的 RADIUS 服务器
配置 RADIUS 服务器组
向组中添加 RADIUS 服务器
为 AAA 监控 RADIUS 服务器
用于 AAA 的 RADIUS 服务器历史记录
用于 AAA 的 TACACS+ 服务器
关于用于 AAA 的 TACACS+ 服务器
TACACS+ 属性
用于 AAA 的 TACACS+ 服务器指南
配置 TACACS+ 服务器
配置 TACACS+ 服务器组
向组中添加 TACACS+ 服务器
监控用于 AAA 的 TACACS+ 服务器
用于 AAA 的 TACACS+ 服务器历史
用于 AAA 的 LDAP 服务器
关于 LDAP 和 ASA
如何使用 LDAP 进行身份验证
LDAP 层次结构
搜索 LDAP 层次结构
绑定到 LDAP 服务器
LDAP 属性映射
AAA 的 LDAP 服务器指南
配置用于 AAA 的 LDAP 服务器
配置 LDAP 属性映射
配置 LDAP 服务器组
使用 LDAP 为 VPN 配置授权
监控用于 AAA 的 LDAP 服务器
用于 AAA 的 LDAP 服务器的历史记录
系统管理
管理访问
配置管理远程访问
配置 SSH 访问
配置 Telnet 访问
为 ASDM 配置 HTTPS 访问
为 ASDM 访问或无客户端 SSL VPN 配置 HTTP 重定向
配置 VPN 隧道上的管理访问
在数据接口上配置对 FXOS 的管理访问
更改控制台超时
自定义 CLI 提示符
配置登录横幅
设置管理会话配额
为系统管理员配置 AAA
关于系统管理员的 AAA
关于 SSH 身份验证
关于 Telnet 身份验证
关于 ASDM 身份验证
关于串行身份验证
关于 Enable 身份验证
从交换机到 ASA 服务模块的会话
支持的命令授权方法
安全情景和命令授权
命令特权级别
为 CLI 和 ASDM 访问配置身份验证
配置 Enable 身份验证(特权 EXEC 模式)
配置 ASDM 证书身份验证
使用管理授权控制 CLI 和 ASDM 访问
配置命令授权
配置本地命令授权
在 Commands TACACS+ 服务器上配置命令
配置 TACACS+ 命令授权
为本地数据库用户配置密码策略
更改密码
启用和查看登录历史
配置管理访问记帐
从锁定中恢复
监控设备访问
管理访问的历史记录
软件和配置
升级软件
使用 ROMMON 加载映像
使用 ROMMON 加载 ASA 5500-X 系列的映像
使用 ROMMON 为 ASASM 加载映像
升级 ROMMON 映像(ASA 5506-X、5508-X 和 5516-X)
恢复并加载 ASA 5506W-X 无线接入点的映像
降级软件
管理文件
查看闪存中的文件
从闪存中删除文件
擦除闪存文件系统
配置文件访问
配置 FTP 客户端模式
将 ASA 配置为安全复制服务器
配置 ASA TFTP 客户端路径
将文件复制到 ASA
将文件复制到启动配置或运行配置
设置 ASA 映像、ASDM 和启动配置
备份和恢复配置或其他文件
执行全面系统备份或还原
开始备份或恢复之前
备份系统
恢复备份
配置自动备份和恢复 (ISA 3000)
备份单模式配置或多模式系统配置
备份闪存中的情景配置或其他文件
在情景中备份情景配置
从终端显示复制配置
使用 Export 和 Import 命令备份附加文件:
使用脚本备份和恢复文件
在开始使用备份和恢复脚本之前
运行脚本
样本脚本
配置自动更新
关于自动更新
自动更新客户端或服务器
自动更新的优势
故障切换配置中的自动更新服务器支持
自动更新过程概述
自动更新准则
配置与自动更新服务器的通信
将客户端更新配置为自动更新服务器
监控自动更新
监控自动更新过程
监控自动更新状态
软件和配置的历史记录
自动响应系统事件
关于 EEM
支持的事件
事件管理器小程序上的操作
输出目标
EEM 准则
配置 EEM
创建事件管理器小应用程序并配置事件
配置操作和操作输出的目标
运行事件管理器小程序
跟踪内存分配和内存使用
EEM 示例
监控 EEM
EEM 历史记录
测试和故障排除
查看调试消息
数据包捕获
数据包捕获指南
捕获数据包
查看数据包捕获
查看崩溃转储
查看核心转储
ASAv 中的 vCPU 使用率
CPU 使用率示例
VMware CPU 使用率报告
ASAv 和 vCenter 图表
测试配置
测试基本连接:Ping 通地址
使用 Ping 可测试的信息
在 ICMP 和 TCP ping 之间进行选择
启用 ICMP
Ping 主机
系统地测试 ASA 连接
跟踪主机路由
使 ASA 在跟踪路由中可见
确定数据包路由
使用数据包跟踪器测试策略配置
监控连接
测试和故障排除历史
监控
日志记录
关于日志记录
多情景模式下的日志记录
系统日志消息分析
系统日志消息格式
严重性级别
系统日志消息过滤
系统日志消息类
自定义消息列表
集群
日志记录准则
配置日志记录
启用日志记录
配置输出目标
将系统日志消息发送至外部系统日志服务器
启用安全日志记录
将 EMBLEM 格式的系统日志消息生成到系统日志服务器
将 EMBLEM 格式的系统日志消息生成到其他输出目标
将系统日志消息发送至内部日志缓冲区
更改可用于日志的内部闪存量
将系统日志消息发送给邮件消息
将系统日志消息发送到 ASDM
配置日志记录队列
将系统日志消息发送到控制台端口
将系统日志消息发送到 SNMP 服务器
将系统日志消息发送到 Telnet 或 SSH 会话
配置系统日志消息
在系统日志显示或隐藏无效用户名
在系统日志消息中包含日期和时间
禁用系统日志消息
更改系统日志消息的严重性级别
在备用设备上阻止系统日志消息
在非 EMBLEM 格式系统日志消息中包含设备 ID
创建自定义事件列表
配置日志记录过滤器
将类中的所有系统日志消息发送到指定输出目标
限制系统日志消息生成速率
监控日志
日志记录示例
日志记录的历史
SNMP
关于 SNMP
SNMP 术语
MIB 和陷阱
SNMP 对象标识符
物理供应商类型值
MIB 支持的表和对象
支持的陷阱(通知)
接口类型和示例
SNMP 第 3 版概述
安全模型
SNMP 组
SNMP 用户
SNMP 主机
ASA、ASA 服务模块和思科 IOS 软件之间的实施差异
SNMP 系统日志消息传递
应用服务和第三方工具
SNMP 指南
配置 SNMP
启用 SNMP 代理和 SNMP 服务器
配置 SNMP 陷阱
配置 CPU 使用率阈值
配置物理接口阀值
配置 SNMP 版本 1 或版本 2c 的参数
配置 SNMP 第 3 版的参数
配置用户组
将用户与网络对象相关联
监控 SNMP
SNMP 示例
SNMP 的历史
思科 ISA 3000 的报警
关于报警
报警输入接口
报警输出接口
报警默认值
配置报警
监控报警
报警的历史
匿名报告和 Smart Call Home
关于 Anonymous Reporting
DNS 要求
关于 Smart Call Home
订用警报组
警报组的属性
警报组向思科发送的消息
消息严重性阈值
订用配置文件
Anonymous Reporting 和 Smart Call Home 指南
配置 Anonymous Reporting 和 Smart Call Home
配置 Anonymous Reporting
配置 Smart Call Home
启用 Smart Call Home
声明证书签发信任点并对其进行身份验证
配置环境警报组和快照警报组
配置警报组订用
配置客户联系信息
配置邮件服务器
配置流量速率限制
发送 Smart Call Home 通信
配置目标配置文件
复制目标配置文件
重命名目标配置文件
监控匿名报告和 Smart Call Home
Smart Call Home 示例
Anonymous Reporting 和 Smart Call Home 的历史
参考
使用命令行界面
防火墙模式和安全情景模式
命令模式和提示符
语法格式
缩写命令
命令行编辑
命令补全
命令帮助
查看运行配置
过滤 show 和 more 命令输出
重定向和待处理 show 命令输出
获取 show 命令输出的行计数
命令输出分页
添加注释
文本配置文件
命令如何与文本文件中的行相对应
命令特定配置模式命令
自动文本条目
行顺序
文本配置中不包括的命令
密码
多个安全情景文件
支持的字符集
地址、协议和端口
IPv4 地址和子网掩码
类
专用网络
子网掩码
确定子网掩码
确定要与子网掩码配合使用的地址
C 类规模网络地址
B 类规模网络地址
IPv6 地址
IPv6 地址格式
IPv6 地址类型
单播地址
全局地址
站点本地地址
本地链路地址
与 IPv4 兼容的 IPv6 地址
不特定地址
环回地址
接口标识符
组播地址
任播地址
必需地址
IPv6 地址前缀
协议和应用
TCP 和 UDP 端口
本地端口和协议
ICMP 类型
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
Americas Headquarters
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, CA 95134-1706
USA
http://www.cisco.com
Tel: 408 526-4000
800 553-NETS (6387)
Fax: 408 527-0883
本手册中有关产品的规格和信息如有更改,恕不另行通知。本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保。用户必须承担使用产
品的全部责任。
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分。如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本。
思科所采用的 TCP 报头压缩是加州大学伯克利分校 (UCB) 开发的一个程序的改版,是 UCB 的 UNIX 操作系统公共域版本的一部分。版权所有。版权所有 © 1981,加州大学
董事会。
无论本手册中是否有任何其他保证,这些供应商的所有文档文件和软件均按“原样”提供,并可能包含缺陷。思科和上面所提及的提供商拒绝所有明示或暗示保证,包括(但
不限于)适销性、特定用途适用性和无侵权保证,或者因买卖或使用以及商业惯例所引发的保证。
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应商概不
负责,即使思科及其供应商已获知此类损坏的可能性也不例外。
本文档中使用的任何互联网协议 (IP) 地址和电话号码并非实际地址和电话号码。本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。说明性内
容中用到的任何真实 IP 地址或电话号码纯属巧合,并非有意使用。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表,请访问此网址:www.cisco.com go trademarks。文中提及的第三方
商标为其相应所有者的财产。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。(1721R)
© 2018 Cisco Systems, Inc. 保留所有权利。
目 录
序 言 :
关于本指南 li
文档目标 li
相关文档 li
文档约定 li
获取文档和提交服务请求 liii
第 I 部 分 :
ASA 入门 55
第 1 章
思科 ASA 简介 1
硬件和软件兼容性 1
VPN 兼容性 1
新功能 1
ASA 9.9(2) 的新功能 2
ASA 9.9(1) 的新功能 4
防火墙功能概述 6
安全策略概述 6
通过访问规则允许或拒绝流量 7
应用 NAT 7
保护 IP 片段 7
应用 HTTP、HTTPS 或 FTP 过滤 7
应用应用检测 7
将流量发送到支持的硬件或软件模块 7
应用 QoS 策略 7
应用连接限制和 TCP 规范化 7
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
iii
目录
启用威胁检测 8
防火墙模式概览 8
状态监测概览 8
VPN 功能概述 9
安全情景概述 10
ASA 集群概述 10
特殊服务和传统服务 11
第 2 章
使用入门 13
访问命令行界面的控制台 13
访问设备控制台 13
访问 Firepower 2100 控制台 14
访问 Firepower 4100/9300 机箱上的 ASA 控制台 16
访问 ASA 服务模块控制台 17
关于连接方法 17
登录到 ASA 服务模块 18
注销控制台会话 20
断开活动控制台连接 20
注销 Telnet 会话 21
访问软件模块控制台 21
访问 ASA 5506W-X 无线接入点控制台 22
配置 ASDM 访问 22
使用出厂默认配置进行 ASDM 访问(设备、ASAv) 22
自定义 ASDM 访问 23
为 ASA 服务模块配置 ASDM 访问 26
启动 ASDM 28
出厂默认配置 30
恢复出厂默认配置 30
恢复 ASAv 部署配置 31
ASA 5506-X 系列默认配置 32
ASA5508-X 和 5516-X 默认配置 34
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
iv
目录
ASA 5512-X、5515-X、5525-X 及更高型号默认配置 35
Firepower 2100 上的 ASA 的默认配置 35
Firepower 4100/9300 机箱默认配置上的 ASA 37
ISA 3000 的默认配置 37
ASAv 部署配置 39
处理配置 41
保存配置更改 41
在单情景模式下保存配置更改 41
在多情景模式下保存配置更改 41
将启动配置复制到运行配置 43
查看配置 43
清除和删除配置设置 44
离线创建文本配置文件 45
将配置更改应用于连接 45
重新加载 ASA 46
第 3 章
许可证:产品授权密钥许可 47
关于 PAK 许可证 47
预安装的许可证 47
永久许可证 47
基于时间的许可证 48
基于时间的许可证激活准则 48
基于时间的许可证计时器工作方式 48
永久许可证与基于时间的许可证的合并方式 48
堆叠基于时间的许可证 49
基于时间的许可证到期 50
许可证说明 50
AnyConnect Plus 版和 Apex 版许可证 50
其他 VPN 许可证 51
合并后的各个类型的 VPN 会话总数 51
VPN 负载均衡 51
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
v
目录
传统 VPN 许可证 51
加密许可证 53
Carrier 许可证 53
TLS 代理会话总数 53
最大 VLAN 数量 54
僵尸网络流量过滤器许可证 54
IPS 模块许可证 54
共享 AnyConnect 高级许可证(AnyConnect 3 及更早版本) 55
故障切换或 ASA 集群许可证 55
故障切换许可证要求和特例 55
ASA 集群许可证要求和特例 57
故障切换或 ASA 集群许可证的合并方式 57
故障切换或 ASA 集群设备之间的通信丢失 58
升级故障切换对 59
无负载加密型号 59
许可证 FAQ 59
PAK 许可证指南 60
配置 PAK 许可证 62
订购许可证 PAK 并获取激活密钥 62
获取强加密许可证 63
激活或停用密钥 65
配置共享许可证(AnyConnect 3 及更早版本) 66
关于共享许可证 66
关于共享许可服务器和参与者 66
参加者和服务器之间的通信问题 67
关于共享许可备用服务器 68
故障切换和共享许可证 68
最大参与者数 70
配置共享许可服务器 70
配置共享许可备份服务器(可选) 71
配置共享许可参与者 72
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
vi
目录
每个型号支持的功能许可证 73
每个型号的许可证 73
ASA 5506-X 和 ASA 5506W-X 许可证功能 73
ASA 5506H-X 许可证功能 74
ASA 5508-X 许可证功能 75
ASA 5512-X 许可证功能 76
ASA 5515-X 许可证功能 78
ASA 5516-X 许可证功能 79
ASA 5525-X 许可证功能 80
ASA 5545-X 许可证功能 81
ASA 5555-X 许可功能 82
带 SSP-10 的 ASA 5585-X 许可证功能 84
带 SSP-20 的 ASA 5585-X 许可证功能 85
带 SSP-40 和 SSP-60 的 ASA 5585-X 的许可证功能 86
ASASM 许可证功能 88
ISA 3000 许可证功能 89
监控 PAK 许可证 90
查看当前许可证 91
监控共享许可证 99
PAK 许可证的历史 100
第 4 章
许可证:智能软件许可(ASAv 和 Firepower 上的 ASA) 109
关于智能软件许可 109
Firepower 4100/9300 上的 ASA 的智能软件许可 Firepower 4100/9300 机箱 109
智能软件管理器和帐户 110
离线管理 110
永久许可证保留 110
Firepower 2100 和 Firepower 4100/9300 机箱的卫星服务器 Firepower 4100/9300 机箱 111
按虚拟帐户管理的许可证和设备 111
评估许可证 112
智能软件管理器通信 112
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
vii
目录
设备注册和令牌 112
与许可证颁发机构的定期通信 113
不合规状态 113
Smart Call Home 基础设施 113
智能许可证证书管理 114
许可证说明。 114
AnyConnect Plus 版和 Apex 版许可证 114
其他 VPN 许可证 114
合并后的各个类型的 VPN 会话总数 115
加密许可证 115
运营商许可证 116
TLS 代理会话总数 116
最大 VLAN 数量 117
僵尸网络流量过滤器许可证 117
故障切换或 ASA 集群许可证 117
ASAv 的故障切换许可证 117
适用于 Firepower 2100 的故障切换许可证 117
Firepower 4100/9300 机箱上适用于 ASA 的故障切换许可证 118
Firepower 4100/9300 机箱 上 ASA 的 ASA 集群许可证 119
智能软件许可必备条件 120
智能软件许可指南 121
智能软件许可的默认设置 121
ASAv:配置智能软件许可 122
ASAv:配置常规智能软件许可 122
122
配置许可并注册 ASAv
(可选)取消注册 ASAv
(可选)更新 ASAv ID 证书或许可证授权 126
125
ASAv:配置永久许可证保留 126
安装 ASAv 永久许可证 126
(可选)返还 ASAv 永久许可证 128
Firepower 2100:配置智能软件许可 129
CLI 书籍 1:思科 ASA 系列常规操作 CLI 配置指南,9.9
viii
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
