Cisco ASA/Transparent firewall
Материал из Xgu.ru
[править] Ограничения режима transparent
Ограничения режима transparent:
- ASA в режиме transparent может использовать только два интерфейса (в single mode) для передачи данных (и один выделенный интерфейс для управляющего трафика), несмотря на то, что у неё может быть большее количество интерфейсов.
- В режиме transparent для statefull failover не может использоваться выделенный интерфейс.
[править] Настройка режима transparent
Перевести ASA в режим transparent:
ASA1(config)# firewall transparent ciscoasa(config)#
Посмотреть в каком режиме работает ASA:
ciscoasa(config)# sh firewall Firewall mode: Transparent
Когда ASA работает в режиме transparent, на интерфейсах не задаются IP-адреса, но задаются имена и уровни безопасности:
ciscoasa(config)# int eth0/0 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# no shut
ciscoasa(config)# int eth0/2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# no shut
Настраивается только IP-адрес для управления самой ASA:
ciscoasa(config)# ip address 10.0.1.9 255.255.255.0
Посмотреть настроенный адрес:
ciscoasa(config)# sh ip add Management System IP Address: ip address 10.0.1.9 255.255.255.0 Management Current IP Address: ip address 10.0.1.9 255.255.255.0 ciscoasa(config)#
ciscoasa(config)# ping 10.0.1.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ciscoasa(config)# ping 10.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ciscoasa(config)# ping 10.0.1.9 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.9, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ciscoasa(config)# sh mac-ad ciscoasa(config)# sh mac-address-table interface mac address type Age(min) ------------------------------------------------------------------ inside 0060.0820.7b0b dynamic 4 outside 00b0.6454.df20 dynamic 3
ciscoasa(config)# access-list ACLIN permit icmp 10.0.1.0 255.255.255.0 10.0.1.$
ciscoasa(config)# access-group ACLIN in interface ins
ciscoasa(config)# access-group ACLIN in interface outside
ciscoasa(config)# sh access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list ACLIN; 1 elements access-list ACLIN line 1 extended permit icmp 10.0.1.0 255.255.255.0 10.0.1.0 255.255.255.0 (hitcnt=2) 0x48a8f2f3 ciscoasa(config)#