Author: Ken

前些时日那个二十三岁的CCIE跟我说她那边在ASA5505上测试规则没有问题的时候我就觉得如果不是ISP有问题那么就是访问规则的问题，因为Adaptive Security Appliances从根本上来讲，Security 是最主要的功能，那么可能是access-list的问题，于是我翻出说明书查找access-list的说明，始终未明所以，然后在终端里面一个命令一个命令查看，发现有个access-group,（Bind an access-list to an interface to filter traffic），这个filter意思很多的，我觉得可能是这个地方有问题，然后打开说明书……那么明显那么粗犷那么让人蛋疼的一个example就摆在那里……这说明我看说明书还是不够仔细，只注意看命令的解释，忽略example是一件多么不幸的事情，当然，主要是因为在几个小时的时间内看完三千多页的英文说明书这种事情我从来没干过。

如果英语过了四级的应该很容易看明白图中example要表达的意思，如果英语没过四级的我解释下，地址转发是为了将公网IP地址对应到内网地址，access-list的作用是允许访问公网地址的www端口，而access-group才是允许流量从公网地址进入内网地址的命令……我现在相当怀疑那些说一条static 命令就可以搞定问题的人，因为按照这个说明书上的来看，一条规则是绝对不可能把内网的服务映射出去的，当然了，不能排除老版本软件的可能。

那么，总结起来，在Cisco ASA5510上，至少需要以下的命令，才能让公网访问内网的服务器，下面的配置我打开了permit ip any any，严格来说这不是最安全的，但我始终认为网络的根本是自由，限制这限制那的，和互联网的精神完全就是背道而驰。
…etc…
access-list outside_access_in extended permit ip any any
…etc…
global (outside) 1 124.193.109.180 netmask 255.255.255.240
…etc…
static (inside,outside) 124.193.109.180 192.168.151.160 netmask 255.255.255.255
…etc…
access-group outside_access_in in interface outside

…etc…

好了，大家可以访问 http://124.193.109.180 看看，这就是我们，金马甲！在金阳办公区！
顺便可以打开snmp服务，让ASA5510把流量信息输出到另外的主机上，来进行网络流量信息的统计，我们需要在ASA5510上至少输入以下的命令，下例为把snmp信息输送给主机192.168.151.160：（下面那么多traps其实只需要输入snmp-server enable all就可以了）
…etc…
snmp-server host inside 192.168.151.160 community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
snmp-server enable traps ipsec start stop
snmp-server enable traps entity config-change fru-insert fru-remove
snmp-server enable traps remote-access session-threshold-exceeded
…etc…
当然了，我已经在192.168.151.160上装好了监测软件，简单的配置一下，就可以访问了：http://traffic.goldenvest.net/graph_view.php?action=preview

以后我们完全可以将金马甲几个大厅的备份系统放在内网，设置和金马甲正式平台完全一样的环境，对外开放给各地的机构客户访问，避免产生在金马甲正式平台上这个权限没有那个权限也没有的问题，测试环境也可以直接部署在金阳办公区，集团业务部和机构合作部，不管你们在哪里，你们都可以访问金阳办公区的测试环境，这对于各种需求的前期汇集，后期集中，快速展现，未尝不是一种好处，不会说这个功能还不完善，不能放到正式服务器上去。

今天阳光明媚，和风习习，一路上鸟语涧鸣，人群攘攘熙熙，来到公司，打开电脑，开始了一天的工作，这样一份让人充满信心和激情的工作，豪哥来到我的座位前，亲切的交代了一天的工作概要。我和琦姐就前一天的工作成果和今天的工作计划交换了意见，并进行了卓有成效的讨论和研究。儒哥在来公司的路上，由于太过专注想着今天集团业务部交代的专题任务，不小心撞在了金融街中国移动门口的电线杆上，把眼镜的左边镜片摔掉了，所以上午他就配眼镜的问题耽搁了一些时间，然而祸不单行，在配眼镜的过程中，由于我给他打电话讨论机构合作部关于在MBO用户后台中资源下载栏目的UI设计，引来了扒手的关注，使得他在回到公司后发现手机不翼而飞，一定是我给他打电话的时候不小心露了富，白蛇传中的小青姐姐曾经说过，家有银财不露白，他刚买的诺基亚N95就这样被偷走了。好在琪哥来到产品中心讨论最近很热门的鸟巢项目专题UI设计的时候，发现儒哥没了手机，非常大方的将他自己用过没几次几乎全新的Windows智能手机S1赠送给了儒哥，但是很显然儒哥的情绪似乎还是没有恢复，在和集团业务部的博哥讨论关于一个专题设计的时候走神了，看他这幅样子，我也不好就机构合作部的资源下载UI设计和他讨论了，太可怜了。

中午到楼下食堂吃午饭，正好豪哥和琪哥也在楼下吃饭，豪哥亲切的关怀了我吃的饭菜，说：年轻人就是要多吃肉，这样才能铆足了劲工作！为了金马甲的发展努力奋斗！我谦虚的说：我吃肥肉还行，瘦肉不行。大家谈笑风生。

下午刘哥说找调思科防火墙的来了，让我帮他盯着，因为他对于网络是个门外汉，刘哥平时就教导我，做人要诚实，待人要热情，所以我很积极的陪着调思科防火墙的那个刚工作一年的技术和我差不多的男孩调了一个多小时，最后他只搞定了out的问题，没搞定in的问题，也没搞定多个IP的问题，我真恨自己平时没有加强学习，要是我加强一下网络知识的学习，就不用到外面去给钱找人来调思科防火墙了，也能为公司节约一笔开支，在今后的工作中，我一定要加强学习，对于碰到的各种难题，都应该以一种锲而不舍，悬梁刺股，茹毛饮血，置之死地而后生的态度来克服，来为金马甲的发展奉献自己应有的力量。

金马甲六个系统软件的著作权还需要盖章，但下午樊总正好过来，于是合同都还没签就让他在支出凭单上先签了字，不知道茹姐会不会怪我，真是岁月不饶人，樊总的手上都有老年斑一样的痕迹了，我会不会像樊总一样，为了金马甲无怨无悔，挥洒青春呢？

哦对了，岚姐手下有个新人女同事过来，我帮她的电脑装好了一些常用软件，岚姐交代我，她暂时还不会过来，这边她的手下就一个人，要照顾好她的手下，我欣然应允。驻场的律师竹姐下午电脑也出问题了，打开金马甲首页看不到有些内容，对于她处理岚姐以前在“知道学堂”里面添加的那些内容造成了很大的困扰，经过我的测试，IE浏览器能正常浏览，但是腾讯的TT不行，百思不得其解，最后，查看了一下TT的版本，是一个过于陈旧的版本，对于js的处理有些问题，把TT升级就解决了，竹姐对我十分感谢，我都有点不好意思了。其实，对于所有的同事，我都是乐于帮助你们的，因为我热爱金马甲，我也热爱你们。

晚上，和琦姐一起去地铁站，我们讨论了一下产品中心bug处理流程和需求提交流程，始终觉得不太合理，但又想不出来不合理的地方在哪里，只好明日再议。