Asf Command By Eli Kendel

1. ‫‪ASF COMMAND‬‬
‫למחוק את הקונפיגורציה שעל גבי ה-‪ asf‬ל-‪default‬‬
‫/‪– boot/delete‬‬
‫פורט ١ עבור ניהול ‪ management‬אך ורק עבור ניהול או עבור ‪ sync‬כבל ‪cross‬‬
‫פורט ٢ עבור רשתות ‪DMZ‬‬
‫פורט ٣ עבור רשתות פנימיות שאנחנו סומכים עליהם ) ‪( internal‬‬
‫פורט ٤ עבור רשת חיצונית מעולם החיצון האינטרנט ‪Public‬‬
‫התקנת רישיון ‪ F.W‬על גבי מכונת ‪ASF‬‬
‫‪/cfg/lic/pastelic‬‬
‫הצגת הרישיון על גבי ‪ ASF‬על ידי‬
‫‪Cplic print‬‬
‫במצב רגיל כל הפורטים על גבי ה-‪ asf‬הם סגורים במצב של ‪Disable‬‬
‫יש להגדיר את הפורטים ולשייך אליהם כתובות רשת .‬
‫3 ‪/cfg/net/port‬‬
‫‪Name internel_Pelephone‬‬
‫‪Apply‬‬
‫הגדרת ‪ interface‬ושייך כתובת רשת כולל ‪ mask‬לשייך את ה ‪ interface‬לפורט פיזי ולאחר מכן לאפשר אותו‬
‫1 ‪/cfg/net/if‬‬
‫1.0.3.01 1‪Addr‬‬
‫61 ‪Mask‬‬
‫3 ‪Port‬‬
‫‪Enable‬‬

2. ‫הגדרת ‪ default gateway‬או ‪ static route‬עבור רשת החיצונית‬
‫בדרך כלל הכתובת ה-‪ default gateway‬היא של כתובת של הנתב שמחובר לאינטרנט.‬
‫32.3.52.271 ‪/cfg/net/gateway‬‬
‫‪Apply‬‬
‫הגדרת ‪ acl‬עבור תחנות מורשת שיכלו להתחבר ל-‪ asf‬באמצעות ‪Telnet,ssh,web‬‬
‫אבל לא מגביל את ההתחברות באמצעות ‪Smartcenter‬‬
‫‪/cfg/sys/accesslist‬‬
‫001.201.35.01 ‪Add‬‬
‫552.552.552.552 : ‪Mask‬‬
‫‪Apply‬‬
‫על מנת להסתכל את הקונפיגורציה של ה-‪interface‬‬
‫‪/info/net/if‬‬
‫‪Allowing SMART Client access to the Firewall‬‬
‫>‪/cfg/fw/client/add 192.168.1.3 <Network Example SMART Client IP address‬‬
‫‪apply‬‬
‫‪VRRP‬‬
‫הגדרת ‪ vrrp‬על גבי ה-‪ interface‬מספר ٠١ , יש להגדיר את שני הכתובות שעל גבי שני ה-‪asf‬‬
‫תחת ההגדרה ושיוכם למספר פורט פיזי . הגדרות אליו כאשר אנחנו עובדים במוד של ‪active standby‬‬
‫הגדרת כתובת רשת של האינטרפס הראשון – 2.3.52.271 1‪/cfg/net/if 10/addr‬‬
‫הגדרת כתובת רשת של האינטרפס שהשני - 3.3.52.271 1‪/cfg/net/if 10/addr‬‬
‫0.552.552.552 ‪/cfg/net/if 10/mask‬‬
‫שיוך האינטרפס לפורט פיזי מספר ٢ - 2 ‪/cfg/net/if 10/port‬‬
‫אפשור של האינטרפס על גבי המכונה – ‪/cfg/net/if 10/ena y‬‬
‫הגדרת הפונקציה על גבי קבוצה מספר ٠١ - 01 ‪/cfg/net/if 10/vrrp/vrid‬‬
‫הגדרת כתובת שאליה הם יאזינו - 1.3.52.271 1‪/cfg/net/if 10/vrrp/ip‬‬
‫0.0.0.0 2‪/cfg/net/if 10/vrrp/ip‬‬
‫כאשר אנחנו עובדים במוד של ‪ active active‬אזי אלינו להגדיר את 2‪ ip‬בכתובת רשת .‬
‫על מנת לאפשר את מוד של ‪ active standby‬נפעיל את אפשרות של :‬
‫‪/cfg/net/vrrp/ha y‬‬
‫על מנת להפעיל את אפשרות של ‪ active active‬נפעיל את האפשרות של :‬
‫‪/cfg/net/vrrp/aa y‬‬

3. ‫הגדרת ה-‪ advertisement interval‬על גבי ה-‪ asf‬מוגדר בשניות‬
‫‪/cfg/net/vrrp/adint‬‬
‫הגדרת ‪ advanced failover check‬על גבי ה-‪ vrrp‬מבצע בדיקת ‪ arp‬על גבי ה-‪ asf‬ה-‪active‬‬
‫‪/cfg/net/vrrp/afc ena‬‬
‫הגדרת ‪ preferred master‬העדפה של ‪ asf‬שיהיה ה-‪ master‬בפונקצית ה-‪vrrp‬‬
‫‪/cfg/net/vrrp/preferredmaster‬‬
‫על מנת לראות את ה-‪ status‬של ה-‪ vrrp‬נריץ את הפקודה הבאה :‬
‫‪/info/net/vrrp/status‬‬
‫‪Cluster‬‬
‫המצב של ‪ cluster‬רק שני ‪ asf‬יכולים להיות חברים‬
‫ה-‪ cluster‬נבנה כשאר אנחנו מגדירים את ה- ‪ asf‬השני על גיד ה-‪join‬‬
‫על מנת לראות ראות מצב של ה-‪ cluster‬עלידי הפקודה הבאה :‬
‫‪/info/clu‬‬
‫הגדרת ‪ sync‬ביו שני ה-‪ F.W‬עלידי הפקודה הבאה ,‬
‫כמו כן כאשר פקודה זאת מאופשרת אזי ה- ‪ asf‬ה-‪ active‬תמיד מסנכרן את כל ה-‪ session‬שלו‬
‫מול ה-‪ asf‬שנמצא במצב של ‪ standby‬כך שברגע יהיה נפילה אזי כל ה-‪ session‬שהיו על גבי ה-‪asf‬‬
‫הראשי ימשיכו לעבוד מול ה-‪ asf‬המשני.‬
‫‪/cfg/fw/sync/ena‬‬
‫‪apply‬‬
‫יש לבצע ‪ reboot‬לשני ה-‪ firewall‬ולאחר מכן יש להגדיר תכונתית על גבי ה-‪check point‬‬
‫את האפשרות של ‪failover‬‬