ASA防火墙之透明模式的使用及配置
ASA防火墙之透明模式的使用及配置
本篇讲一下ASA防火墙的透明模式的使用和实例配置分析,这篇之前我讲的所以内容都是路由模式进行配置的,透明模式在ASA防火墙有着不同的用法。下面我们具体分析一下。
透明模式的介绍
我们知道路由模式一般是部署在三层设备之间的,即充当防火墙的流量限制隔离,也能做路由的限制。而透明模式一般部署在二层之间的设备,充当交换机,但仍能做区域隔离。下面介绍其几个特性。
透明模式的优缺点
易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。允许非IP流量穿越防火墙。默认是拒绝的,比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。
限制:
模式切换
Firewall transport //切换到透明模式
No Firewall transport //切换到路由模式
Clear config all
注意切换模式会默认清除配置,且多模式得防火墙只支持一种类型。
对outbound的流量处理
简单的来讲就是,ASA防火墙会对发送过滤的arp数据包进行查询,若mac地址表不存在,则会直接丢包,不会去帮你泛洪,并且自身会发送arp数据包给目的地址。以便存储在mac地址表,方便下次建立连接。
配置指南
基本实例配置
需求:在透明模式下,使得R1可以telnetR2。
- 配置好R1,R2的IP地址,这里省略。
- 配置ASA防火墙的接口名字,这里省略。
配置好后,让R1pingR2查看一下arp表。
这里我们可以发现,ping不通,也是获取不到mac地址的。 - 配置网关IP。
ASA(config)# int bVI 100
ASA(config-if)# ip address 192.168.1.100 255.255.255.0 //地址需与路由器的网段一致,方便不同的网段的PC网管ASA防火墙。 - 将ASA的g0 、g1 划分到网管IP地址。
ASA(config)# int g 0
ASA(config-if)# bridge-group 100
ASA(config)# int g 1
ASA(config-if)# bridge-group 100
配置完成后,再次让R1telnetR2。
可以发现,成功telnet上,到此,ASA透明模式的基础配置完成。
组播流量放行
需求:在路由器配置动态路由协议,对ASA透明模式配置,使得放行组播流量,R1与R2成功形成对应路由。
- 在R1,R2配置ospf,这里不再介绍。
- ASA内部放行OSPF流量。
access-list out extended permit ospf any any
access-list in extended permit ospf any any
access-group in in interface inside
access-group out in interface outside - 放行内部的icmp流量,方便测试ping。
access-list out extended permit icmp any any
access-list in extended permit icmp any any
配置完成,来查看R1,R2邻居表和路由表
可以发现,成功形成对应的路由条目,下面我们继续测试1.1.1.1ping2.2.2.2。
很明显,成功ping成功,说明组播流量放行成功,路由生成。
arp特性
- clear arp //清楚arp缓存表,注意需将接口重新启动。
arp-inspection outside enable //默认情况下开启flood,开启arp的监控。
此时测试R1pingR2
可以发现,成功ping通,且学习到mac地址表。
将fool修改成no-flood,重新清楚arp表再次查看R1pingR2。
此时已经ping不通了,且mac地址学习不到。原因是没有找到条目
所以,若是想让其通信,学习到对应的mac地址表,需手动添加条目。
arp inside 192.168.1.1 c200.18fc.0000
arp outside 192.168.1.2 c201.18fc.0000
再次查看R1pingR2
可以发现,此时可以ping通,出现对应的mac地址。
当然,mac地址表也是可以关闭自动学习的,
mac-learn inside disable
mac-learn outside disable
关闭之后则需手动添加
mac-address-table static inside 1.1.1
mac-address-table static outside 2.2.2
ASA防火墙之透明模式的使用及配置相关推荐
- 华为防火墙USG6320透明模式配置
拓扑图 system-view 进入系统视图,键入Ctrl+Z退回到用户视图. 配置GigabitEthernet 0/0/1工作在交换模式. [USG6300]interface GigabitEt ...
- Juniper防火墙 二层透明模式配置
防火墙透明模式设置(jnuiper ssg-140) 首先理解什么是防火墙的透明模式,就是相当于把防火墙当成交换机,防火墙将过滤通过的IP数据包,但不会修改IP数据包包头中的任何信息. 透明模式的优点 ...
- 华为usg6320服务器映射,华为防火墙USG6320透明模式配置
华为防火墙USG6320透明模式配置 华为防火墙USG6320透明模式配置 拓扑图 system-view 进入系统视图,键入Ctrl+Z退回到用户视图. 配置GigabitEthernet 0/0/ ...
- 部署AF(下一代防火墙)3透明模式access口
网络配置 接口/路由 --> 物理接口 物理接口eth2 编辑物理接口 类型:透明 所属区域:wan 基本属性:wan 连接类型:access 物理接口eth1 编辑物理接口 类型:透明 所属区 ...
- ASA防火墙之telnet的AAA穿越认证配置实例
telnet的AAA穿越认证 本篇继续介绍ASA防火墙,主要讲解网络穿越ASA防火墙进行访问,并进行AAA认证,才可以正常的访问通信. 实验拓扑 环境(ASA防火墙,ACS服务器,路由器) 需求: 为 ...
- 部署AF(下一代防火墙)3透明模式trunk口
网络配置 接口/区域 名称:eth2 类型:透明 所属区域:wan 基本属性:wan口 ipv4:连接类型:trunk 接口/区域 名称:eth1 类型:透明 所属区域:lan 基本属性: ipv4: ...
- 防火墙(ASA)高级配置之URL过滤、日志管理、透明模式
对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录.本篇博客将介绍如何对ASA进行日志管理与分析.ASA透明模式的原理与配置.利用ASA防火墙的IOS特性实施URL过滤. 一.URL过滤 利用 ...
- 简述CISCO防火墙透明模式
随着计算机技术的发展和进步,以及互联网的普及,网络安全问题已经日益突出地摆在用户的面前,使用CISCO网络防火墙可以有效地阻止来自外部网络的***,帮助用户防止跨越权限的数据访问,并且可以通过在防火墙 ...
- 实战 | F1060防火墙透明模式典型组网配置案例(access)
转载来源 : 实战 | F1060防火墙透明模式典型组网配置案例(access) :https://mp.weixin.qq.com/s/Qd_kbE5f5VxNj7gWQ84bYg 组网及说明 组网 ...
最新文章
- 吴恩达Drive.ai因经营困难“卖身”苹果
- C++编程进阶1(对于单纯的常量,用const替换#define、operator[]与const)
- spring mvc学习(46):自定义配置类
- 台式计算机技术方案,2017年4月自考02316计算机应用技术真题及答案
- 基于LINQ to SQL的WEB开发三层架构(2)
- CSS基础汇总——点击标题跳转详细博客【学习笔记】
- 轨道客流预测TransCAD公交分配结果详解
- SCU4487 king's trouble I(深搜DFS)
- HDU 5143 NPY and arithmetic progression(思维)
- 计算机表格增加,怎样在表格中新增一行和上排一样格式的表格。
- 原神可莉、七七、迪奥娜、早柚、宵宫...模型下载(带骨骼贴图)
- MVC5+EF6 入门完整教程
- 服务器cadence比虚拟机慢,Cadence版本选择浅见
- 知名人脸搜索引擎惹众怒:仅需一张照片,几秒钟把你扒得底裤不剩
- 梦幻西游两个不同服务器的名字出现在跨服华山,系统会怎么处理,梦幻西游跨服决战华山测试报告【攻略达人】...
- linux能否批量重命名,linux批量重命名方法
- mysql 切换主键
- 【大学篇】大学的意义
- 点晴oa办公系统 18.0119B
- 项目准时交付率提升至91% 鼎捷助力金石机器人击破经营困局