ASA透明防火墻_06-創(chuàng)新互聯(lián)

在大悟等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計網(wǎng)站設(shè)計制作按需開發(fā)網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站建設(shè),大悟網(wǎng)站建設(shè)費用合理。

透明防火墻

很明顯轉(zhuǎn)發(fā)方式不同，功能也有些限制（畢竟不能當(dāng)路由器用了），訪問控制技術(shù)都有效

ASA透明防火墻_06

流量處理

添加源mac到mac地址表中

若mac表中存在目的mac則轉(zhuǎn)發(fā)

若無則嘗試查詢

在同一網(wǎng)段，發(fā)arp請求

不在同一網(wǎng)段，ping該IP

配置要求

內(nèi)外接口直連網(wǎng)絡(luò)必須在相同的子網(wǎng)內(nèi)部，每一個接口必須在不同的VLAN
必須要配置一個網(wǎng)管IP （重要），可以指定一個特定接口抵達(dá)的IP為默認(rèn)網(wǎng)關(guān)，這條路由只起到網(wǎng)管作用，網(wǎng)管IP必須要和內(nèi)外網(wǎng)段相同，且不能做為網(wǎng)關(guān)
組播和廣播流量，即便是高到低，需要明確放行（穿越）
單播和路由模式一樣，高到低和acl
所有的流量都可以通過extended access list(ACL)(for IP traffic)或者EtherType ACL(for no IP traffic)來放行
ARP默認(rèn)能夠穿越防火墻（雙向），可以通過ARP inspection這個技術(shù)來控制。
CDP是無法穿越的

實驗圖

ASA透明防火墻_06

三到七層配置

切換到透明墻 ciscoasa(config)# firewall transparent 切換回路由模式 ciscoasa(config)# no firewall transparent ciscoasa(config)# clear configure all 查看當(dāng)前模式 ciscoasa(config)# show firewall Firewall mode: Router 配置接口 interface GigabitEthernet0/0 nameif DMZ bridge-group 1 security-level 50 ! interface GigabitEthernet0/1 nameif outside bridge-group 1 security-level 0 ! interface GigabitEthernet0/2 nameif inside bridge-group 1 security-level 100 ciscoasa(config)# interface bVI 1 //這個對應(yīng) 相應(yīng)的bridge-group ID號 ciscoasa(config-if)# ip address 10.1.10.139 255.255.255.0 //必須配，否則各個接口通不了現(xiàn)在高安全到低安全能通信，低到高需明確放行 ciscoasa(config)#access-list dmz-inside line 1 extended permit tcp host 10.1.10.17 host 10.1.10.12 eq telnet ciscoasa(config)# access-group dmz-inside in interface dmz ciscoasa(config)# show conn 1 in use, 23 most used TCP DMZ 10.1.10.17:23519 inside 10.1.10.12:23, idle 0:02:08, bytes 115, flags UIOB

ospf穿越transport asa

ciscoasa(config)# access-list in-ospf-dmz permit ospf any any ciscoasa(config)# access-group in-ospf-dmz in interface inside ciscoasa(config)# access-list dmz-ospf-in permit ospf any any ciscoasa(config)# access-group dmz-ospf-in in interface dmZ 此時已經(jīng)能看到ospf路由 inside#show ip route ospf O 7.7.7.7 [110/2] via 10.1.10.17, 00:01:08, FastEthernet0/0 DMZ#show ip route ospf O 2.2.2.2 [110/2] via 10.1.10.12, 00:00:52, FastEthernet0/0 但卻不能通信，默認(rèn)高到低是能通的，但如果自己接口寫了acl（之前放行ospf），那么就不存在默認(rèn)，必須自己寫 in telnet dmz access-list in-ospf-dmz extended permit tcp any any eq telnet access-group in-ospf-dmz in interface inside dmz telnet in access-list dmz-ospf-in extended permit tcp any any eq telnet access-group dmz-ospf-in in interface DMZ in telnet dmz 時的表項 ciscoasa(config)# show conn TCP DMZ 7.7.7.7:23 inside 10.1.10.12:49046, idle 0:00:03, bytes 112, flags UIO

二層配置（即非IP流量）

默認(rèn)非IP流量不放行

PPPOE PPPOE服務(wù)器配置: username pppoeuser password 0 cisco ! bba-group pppoe global virtual-template 1 ! interface FastEthernet0/0 ip add 10.1.10.16 255.255.255.0 no shu pppoe enable group global ! interface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool ippool ppp authentication pap ! ip local pool ippool 10.1.10.100 10.1.10.110 PPPOE客戶端配置: interface FastEthernet0/0 no ip add no shu pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip mtu 1492 encapsulation ppp dialer pool 1 ppp pap sent-username pppoeuser password 0 cisco 在asa放行非IP流量 PPPOE access-list in-l2-out ethertype permit 8863 access-list in-l2-out ethertype permit 8864 access-list out-l2-in ethertype permit 8863 access-list out-l2-in ethertype permit 8864 access-group out-l2-in in interface outside access-group in-l2-out in interface inside 查看 inside#show ip inter b Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES manual up up Dialer1 10.1.10.100 YES IPCP up up Virtual-Access1 unassigned YES unset up up

注：在一個接口的一個方向只能應(yīng)用三個acl，類型分別為：ipv4-acl 、ipv6-acl 、二層-acl

ARP Inspection

錯誤映射的ARP包被丟棄配置靜態(tài)ARP映射激活A(yù)RP監(jiān)控

arp-inspection DMZ enable no-flood //no-flood表示有表就查，沒就丟棄 arp-inspection outside enable no-flood 由于asa上沒有寫靜態(tài)ARP映射所以通不了 DMZ#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.10.16 0 Incomplete ARPA //最終arp表項建立失敗 Internet 10.1.10.17 - 0007.0007.0007 ARPA FastEthernet0/0 arp-inspection DMZ enable flood //flood表示有表就查，沒就放行 arp-inspection outside enable flood 沒有靜態(tài)ARP映射的arp直接放行 DMZ#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.10.16 0 0006.0006.0006 ARPA FastEthernet0/0 Internet 10.1.10.17 - 0007.0007.0007 ARPA FastEthernet0/0 寫靜態(tài)ARP映射 ciscoasa(config)# arp dmz 10.1.10.16 9.9.9 //我們在dmz口上寫一個錯誤的表項 DMZ#show arp //無論是flood還是no-flood，第一先查表 Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.10.16 0 Incomplete ARPA Internet 10.1.10.17 - 0007.0007.0007 ARPA FastEthernet0/0

在outside口抓包，可以看到其實outside是回復(fù)了正確的arp響應(yīng)，但該包里的ip和mac對應(yīng)關(guān)系與ASA表項不符，直接丟棄

ASA透明防火墻_06

ciscoasa(config)# show arp-inspection ciscoasa(config)# show arp ciscoasa(config)# show mac-address-table ciscoasa(config)# clear arp

MAC Address Table

cam表主要來自動態(tài)學(xué)習(xí)

收到未知目的mac的包直接丟棄

ciscoasa(config)# mac-learn dmz disable //關(guān)閉mac動態(tài)學(xué)習(xí)，可以防止mac的***，當(dāng)然你得自己添加靜態(tài)表項 ciscoasa(config)# mac-address-table static dmz 0001.0001.0001 //靜態(tài)添加cam表項 ciscoasa(config)# arp dmz ip mac //寫靜態(tài)arp 也能添到cam表中，但這arp是需要ip的，cam不需要

多模式防火墻

一個防火墻虛擬多個虛擬防火墻

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章題目：ASA透明防火墻_06-創(chuàng)新互聯(lián)
分享URL：http://weahome.cn/article/johdd.html

真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

ASA透明防火墻_06-創(chuàng)新互聯(lián)

其他資訊

網(wǎng)站制作

企業(yè)服務(wù)

網(wǎng)站建設(shè)

服務(wù)器托管