cisco ASA5500-X防火墙配置指南

1

ASA5500-X 身份防火墙与 CDA 配置指南(ASA-CX9.2)

一、 目的 ...................................................................................................................................... 1

二、 网络拓扑 .............................................................................................................................. 1

三、 CDA 的安装与配置 ............................................................................................................ 2

四、 ASA5515-X 安装 CX 模块 ................................................................................................. 4

五、 Windows 2008 R2 的配置 .................................................................................................. 8

主要内容包括以下几个部分：：

 ASA5515-X 上 CX 模块的安装与配置。

 CDA 的安装与配置。

 Windows 2008 R2 服务器与 CDA 配合时，需要的修改哪些内容。

 在 CX 上配置基于用户身份的上网访问控制策略。

二、 网络拓扑

以下是本次配置实例的网络拓扑图：

2

网络配置信息如下：

设备 IP 地址信息，请参考 Lab Guide 说明。

三、 CDA 的安装与配置

思科 Context Directory Agent(简称 CDA)是一套软件，作用是为 ASA5515-X 的 CX 模块提供

客户端 IP 地址与域用户身份的映射关系，从而可以在 ASA-CX 上实现基于用户身份的安全访

问策略。

通过思科 CCO 可以下载获取 CDA 的 ISO 格式的软件。CDA 软件本身包含了操作系统，它

可以安装在一台专用的 x86 服务器上，或者 VMware 的 ESX 或 ESXi 虚拟机上。在 VMWare

虚拟机上安装时，注意 Guest OS 类型要选择：Linux CentOS 4/5 32bit。

Press ‘Ctrl-C’ to abort setup

Enter Hostname[]: cda-server

Enter IP address []: 10.10.10.83

Enter IP netmask []: 255.255.255.0

Enter IP default gateway []: 10.10.10.3

Enter primary nameserver []: 10.10.10.80

Enter secondary nameserver? Y/N: n

Enter primary NTP server [time.nist.gov]: 10.10.10.80

Enter secondary NTP server? Y/N: n

Pinging the primary nameserver...

Do not use ‘Ctrl-C’ from this point on...

Installing applications...

Installing cda...

3

Pre install

Post Install

Application bundle (cda) installed successfully

=== Initial setup for application: cda ===

Generating configuration...

Rebooting...

步骤 4：打开浏览器，输入 https://10.10.10.83，输入已经创建好的用户名和密码，登陆

至此，CDA 的安装和配置已经完成。

4

四、 ASA5515-X 安装 CX 模块

在 ASA5515 上安装 CX 模块，需要通过 ASA 的 Console 接口或以太网接口到

Management 0/0 接口（注意，在 ASACX 模块仅能通过 Management 接口灌入软件）。

首要的升级步骤就是把软件更换成最新的 9.1（3） 版本，安装 CX 软件到前面板上的

module 命令查看 ASA-CX 模块已经安装，可以看到 cxsc 即为 ASA-CX 模块，其状

态为 Unresponsive，表明还未加载引导程序。如下图所示：

注意：CXSC 与 IPS Module 不能同时运行，IPS 需要 Disabled。

（1） 运行以下两个命令，配置 ASA-CX 的软件，并引导 CXSC 开始运行：

5

用户名和密码为 admin/Admin123），开始配置 CXSC 模块：

hostname# session cxsc console

Establishing console session with slot 1

Opening console session with module cxsc.

Connected to module cxsc. Escape character sequence is 'CTRL-SHIFT-6 then x'.

cxsc login: admin

Password: Admin123

注：使用 'CTRL-SHIFT-6’ , 然后按 ‘x’. 退回到 ASA CLI 命令界面。

（3） 在 CXSC 命令行下，运行 partition 命令，对硬盘进行分区：