ASA防火墙之透明模式的使用及配置
本篇讲一下ASA防火墙的透明模式的使用和实例配置分析,这篇之前我讲的所以内容都是路由模式进行配置的,透明模式在ASA防火墙有着不同的用法。下面我们具体分析一下。
透明模式的介绍
我们知道路由模式一般是部署在三层设备之间的,即充当防火墙的流量限制隔离,也能做路由的限制。而透明模式一般部署在二层之间的设备,充当交换机,但仍能做区域隔离。下面介绍其几个特性。
透明模式的优缺点
易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。
允许非IP流量穿越防火墙。默认是拒绝的,比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。
支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。
限制:
模式切换
Firewall transport //切换到透明模式
No Firewall transport //切换到路由模式
Clear config all
注意切换模式会默认清除配置,且多模式得防火墙只支持一种类型。
对outbound的流量处理
简单的来讲就是,ASA防火墙会对发送过滤的arp数据包进行查询,若mac地址表不存在,则会直接丢包,不会去帮你泛洪,并且自身会发送arp数据包给目的地址。以便存储在mac地址表,方便下次建立连接。
配置指南
基本实例配置
需求:在透明模式下,使得R1可以telnetR2。
- 配置好R1,R2的IP地址,这里省略。
- 配置ASA防火墙的接口名字,这里省略。
配置好后,让R1pingR2查看一下arp表。
这里我们可以发现,ping不通,也是获取不到mac地址的。 - 配置网关IP。
ASA(config)# int bVI 100
ASA(config-if)# ip address 192.168.1.100 255.255.255.0 //地址需与路由器的网段一致,方便不同的网段的PC网管ASA防火墙。 - 将ASA的g0 、g1 划分到网管IP地址。
ASA(config)# int g 0
ASA(config-if)# bridge-group 100
ASA(config)# int g 1
ASA(config-if)# bridge-group 100
配置完成后,再次让R1telnetR2。
可以发现,成功telnet上,到此,ASA透明模式的基础配置完成。
组播流量放行
需求:在路由器配置动态路由协议,对ASA透明模式配置,使得放行组播流量,R1与R2成功形成对应路由。
- 在R1,R2配置ospf,这里不再介绍。
- ASA内部放行OSPF流量。
access-list out extended permit ospf any any
access-list in extended permit ospf any any
access-group in in interface inside
access-group out in interface outside - 放行内部的icmp流量,方便测试ping。
access-list out extended permit icmp any any
access-list in extended permit icmp any any
配置完成,来查看R1,R2邻居表和路由表
可以发现,成功形成对应的路由条目,下面我们继续测试1.1.1.1ping2.2.2.2。
很明显,成功ping成功,说明组播流量放行成功,路由生成。
arp特性
- clear arp //清楚arp缓存表,注意需将接口重新启动。
arp-inspection outside enable //默认情况下开启flood,开启arp的监控。
此时测试R1pingR2
可以发现,成功ping通,且学习到mac地址表。
将fool修改成no-flood,重新清楚arp表再次查看R1pingR2。
此时已经ping不通了,且mac地址学习不到。原因是没有找到条目
所以,若是想让其通信,学习到对应的mac地址表,需手动添加条目。
arp inside 192.168.1.1 c200.18fc.0000
arp outside 192.168.1.2 c201.18fc.0000
再次查看R1pingR2
可以发现,此时可以ping通,出现对应的mac地址。
当然,mac地址表也是可以关闭自动学习的,
mac-learn inside disable
mac-learn outside disable
关闭之后则需手动添加
mac-address-table static inside 1.1.1
mac-address-table static outside 2.2.2