Cisco ASA/Transparent firewall

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

[править] Ограничения режима transparent

Ограничения режима transparent:

• ASA в режиме transparent может использовать только два интерфейса (в single mode) для передачи данных (и один выделенный интерфейс для управляющего трафика), несмотря на то, что у неё может быть большее количество интерфейсов.
• В режиме transparent для statefull failover не может использоваться выделенный интерфейс.

[править] Настройка режима transparent

Перевести ASA в режим transparent:

ASA1(config)# firewall transparent 
ciscoasa(config)# 

Посмотреть в каком режиме работает ASA:

ciscoasa(config)# sh firewall 
Firewall mode: Transparent

Когда ASA работает в режиме transparent, на интерфейсах не задаются IP-адреса, но задаются имена и уровни безопасности:

ciscoasa(config)# int eth0/0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut

ciscoasa(config)# int eth0/2   
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut

Настраивается только IP-адрес для управления самой ASA:

ciscoasa(config)# ip address 10.0.1.9 255.255.255.0

Посмотреть настроенный адрес:

ciscoasa(config)# sh ip add
Management System IP Address:
        ip address 10.0.1.9 255.255.255.0
Management Current IP Address:
        ip address 10.0.1.9 255.255.255.0
ciscoasa(config)# 

ciscoasa(config)# ping 10.0.1.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
ciscoasa(config)# ping 10.0.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# ping 10.0.1.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.9, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# sh mac-ad
ciscoasa(config)# sh mac-address-table 
interface                   mac  address          type      Age(min)
------------------------------------------------------------------
inside                     0060.0820.7b0b          dynamic    4 
outside                    00b0.6454.df20          dynamic    3 

ciscoasa(config)# access-list ACLIN permit icmp 10.0.1.0 255.255.255.0 10.0.1.$

ciscoasa(config)# access-group ACLIN in interface ins

ciscoasa(config)# access-group ACLIN in interface outside 

ciscoasa(config)# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list ACLIN; 1 elements
access-list ACLIN line 1 extended permit icmp 10.0.1.0 255.255.255.0 10.0.1.0 255.255.255.0 (hitcnt=2) 0x48a8f2f3 
ciscoasa(config)# 

[править] Дополнительная информация

Cisco Systems, Inc.
Устройства	Cisco 871 • Cisco Router • Cisco Switch • Сisco Сatalyst  • Cisco IPS • Cisco ASA • PIX • Dynamips
Безопасность (коммутаторы и маршрутизаторы)	Cisco Security • Port security • DHCP snooping • Dynamic ARP Protection • IP Source Guard • Аутентификация при доступе к сети • 802.1X в Cisco • Zone-Based Policy Firewall • Cisco NAT • NAT в Cisco  • Cisco SSH
Cisco ASA	Cisco ASA/NAT • Cisco ASA/Troubleshooting • Cisco ASA/IPS • Cisco ASA failover • Cisco ASA/Transparent firewall • Cisco ASA/Site-to-Site_VPN • Cisco ASA/Easy_VPN • Cisco ASA/WebVPN • Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) • Центр сертификатов на Cisco ASA
VPN	IPsec в Cisco • Cisco IOS Site-to-Site VPN  • DMVPN  • Cisco Easy VPN • Cisco Web VPN • Cisco ipsec preshared
Канальный уровень	CDP  • VLAN в Cisco  • ISL  • VTP  • STP в Cisco  • Cisco Express Forwarding  • Агрегирование каналов  • Зеркалирование трафика  • QinQ  • Frame Relay
Сетевой уровень	Маршрутизация в Cisco  • RIP  • EIGRP  • IS-IS  • OSPF • BGP  • PIM  • Multicast  • GLBP  • VRRP  • HSRP  • DHCP  • IPv6  • IPv6 vs IPv4  • Резервирование Интернет-каналов без использования BGP • Использование BGP для резервирования Интернет-каналов
Разное	Режим ROMMON в Cisco • Опция 82 DHCP • 802.1X и RADIUS • SNMP в Cisco • QoS в Cisco  • EEM  • Troubleshooting  • Автоматизация работы устройств Cisco  • Cisco NTP  • Cisco IP SLA  • Cisco Enhanced Object Tracking