вторник, 23 декабря 2014 г.

Cisco ASA/Transparent firewall

Ограничения режима transparent

Ограничения режима transparent:
  • ASA в режиме transparent может использовать только два интерфейса (в single mode) для передачи данных (и один выделенный интерфейс для управляющего трафика), несмотря на то, что у неё может быть большее количество интерфейсов.
  • В режиме transparent для statefull failover не может использоваться выделенный интерфейс.

Настройка режима transparent

Перевести ASA в режим transparent:
ASA1(config)# firewall transparent 
ciscoasa(config)# 
Посмотреть в каком режиме работает ASA:
ciscoasa(config)# sh firewall 
Firewall mode: Transparent
Когда ASA работает в режиме transparent, на интерфейсах не задаются IP-адреса, но задаются имена и уровни безопасности:
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
ciscoasa(config)# int eth0/2   
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
Настраивается только IP-адрес для управления самой ASA:
ciscoasa(config)# ip address 10.0.1.9 255.255.255.0 
Посмотреть настроенный адрес:
ciscoasa(config)# sh ip add
Management System IP Address:
        ip address 10.0.1.9 255.255.255.0
Management Current IP Address:
        ip address 10.0.1.9 255.255.255.0
ciscoasa(config)# 
ciscoasa(config)# ping 10.0.1.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
ciscoasa(config)# ping 10.0.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# ping 10.0.1.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.9, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# sh mac-ad
ciscoasa(config)# sh mac-address-table 
interface                   mac  address          type      Age(min)
------------------------------------------------------------------
inside                     0060.0820.7b0b          dynamic    4 
outside                    00b0.6454.df20          dynamic    3 
ciscoasa(config)# access-list ACLIN permit icmp 10.0.1.0 255.255.255.0 10.0.1.$
ciscoasa(config)# access-group ACLIN in interface ins
ciscoasa(config)# access-group ACLIN in interface outside 
ciscoasa(config)# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list ACLIN; 1 elements
access-list ACLIN line 1 extended permit icmp 10.0.1.0 255.255.255.0 10.0.1.0 255.255.255.0 (hitcnt=2) 0x48a8f2f3 
ciscoasa(config)# 
Источник: xgu.ru/wiki/Cisco_ASA/Transparent_firewall