透明防火墙及涉及到的acl
http://www.ilync.cn/photos/attached/7a765df8217b8ccf88e5770dcb62b8d5.png技术点:Transparent firewall不支持的特性:1.动态路由协议2.IPV63.DHCP relay4.Qos5组播6.做为vpn的终端Transparent firewall两边的网络要属于不同vlan同一网段。PIX7.0是不支持nat的,从8.0后开始支持nat。默认情况下,低安全级别接口必须放流量,但是如果有动态路由协议存在的话,所有涉及到动态协议的接口都是要放这个动态路由协议的acl,由此一个acl存在,其它所有涉及到的流量都是放列表。透明防火墙也可以做子接口,把做子接口的接口和交换机所连的接口设置成trunk.小编推荐:CCSP课程大纲全面升级【详情】6.1由路由模式转成透明模式实验要求:ASA两边的设备在不同的vlan,通过透明ASA,使之能正常通信实验步骤:ILYNC(config)# firewall transparent \\改回路由模式:no firewall transparent,注意改模式,原来配置都将消除,所以应该先保存配置再改模式。ciscoasa (config)#ciscoasa (config)#hostname transtrans(config)#ASA改成透明模式了,充当二层桥的角色,但是所连接口仍然要给它命令,no shut。并且必须配一个全局ip地址,否则这个ASA不起作用。全局ip地址与它两边的设备属于同一网段,将来做管理用。trans(config)# ip address 1.1.1.10 255.255.255.0interface Ethernet0/0 nameif outside security-level 0interface Ethernet0/1 nameif inside security-level 100access-list out extended permit icmp any anyaccess-group out in interface outside 注意:ASA两边的路由器启用的ospf动态路由协议,ASA属于二层设备,不用起动态协议,而且透明模式不支持动态路由协议。只在outside口放行icmp的acl,且打开Logg on;logg console 7,观察到:%ASA-3-106010: Deny inbound protocol 89 src inside:1.1.1.1 dst outside:224.0.0.5%ASA-4-106023: Deny protocol 89 src outside:1.1.1.2 dst inside:224.0.0.5 by access-group "out" Inside和outside都拒绝ospf的协议。所以要在两个接口都放ospf流量。access-list out extended permit ospf any anyaccess-list in extended permit ospf any anyaccess-group in in interface inside从R1处ping R2,则在ASA可看到如下提示:trans(config)# %ASA-7-609001: Built local-host outside:224.0.0.5%ASA-4-106023: Deny icmp src inside:1.1.1.1 dst outside:1.1.1.2 (type 8, code 0) by access-group "in" 表明,一旦某接口放行一个条目的acl,再有通过的流量必须也放行,否则默认是deny ip any any。加上trans(config)# access-list in permit icmp any any从R1处ping R2,一切正常。
---本文档由联科教育(http://www.iLync.cn)提供,如有问题请咨询我们的专家团队!---
http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 该贴已经同步到 iLync的微博 {:6_267:} 多谢分享 {:6_267:}{:6_267:}
页:
[1]