透明防火墙及涉及到的acl

iLync

                               
登录/注册后可看大图

技术点：

Transparent firewall不支持的特性：

1.动态路由协议  2.IPV6  3.DHCP relay  4.Qos  5组播  6.做为vpn的终端

Transparent firewall两边的网络要属于不同vlan同一网段。PIX7.0是不支持nat的，从8.0后开始支持nat。

默认情况下，低安全级别接口必须放流量，但是如果有动态路由协议存在的话，所有涉及到动态协议的接口都是要放这个动态路由协议的acl，由此一个acl存在，其它所有涉及到的流量都是放列表。

透明防火墙也可以做子接口，把做子接口的接口和交换机所连的接口设置成trunk.

小编推荐：CCSP课程大纲全面升级【详情】

[url=]6.1[/url]由路由模式转成透明模式

实验要求：ASA两边的设备在不同的vlan，通过透明ASA，使之能正常通信

实验步骤：

ILYNC(config)# firewall transparent 　\\改回路由模式:no firewall transparent，注意改模式，原来配置都将消除，所以应该先保存配置再改模式。

ciscoasa (config)#

ciscoasa (config)#hostname trans

trans(config)#

ASA改成透明模式了，充当二层桥的角色，但是所连接口仍然要给它命令，no shut。并且必须配一个全局ip地址，否则这个ASA不起作用。全局ip地址与它两边的设备属于同一网段，将来做管理用。

trans(config)# ip address 1.1.1.10 255.255.255.0

interface Ethernet0/0

nameif outside

security-level 0

interface Ethernet0/1

nameif inside

security-level 100

access-list out extended permit icmp any any

access-group out in interface outside

注意：ASA两边的路由器启用的ospf动态路由协议，ASA属于二层设备，不用起动态协议，而且透明模式不支持动态路由协议。只在outside口放行icmp的acl，且打开Logg on;  logg console 7,观察到：

%ASA-3-106010: Deny inbound protocol 89 src inside:1.1.1.1 dst outside:224.0.0.5

%ASA-4-106023: Deny protocol 89 src outside:1.1.1.2 dst inside:224.0.0.5 by access-group "out" [0x0, 0x0]

Inside和outside都拒绝ospf的协议。所以要在两个接口都放ospf流量。

access-list out extended permit ospf any any

access-list in extended permit ospf any any

access-group in in interface inside

[url=]从R1[/url]处ping R2,则在ASA可看到如下提示：

trans(config)# %ASA-7-609001: Built local-host outside:224.0.0.5

%ASA-4-106023: Deny icmp src inside:1.1.1.1 dst outside:1.1.1.2 (type 8, code 0) by access-group "in" [0x0, 0x0]

表明，一旦某接口放行一个条目的acl,再有通过的流量必须也放行，否则默认是deny ip any any。

加上trans(config)# access-list in permit icmp any any

从R1处ping R2，一切正常。

---本文档由联科教育（http://www.iLync.cn）提供，如有问题请咨询我们的专家团队！---

                               
登录/注册后可看大图

该贴已经同步到 iLync的微博

merenpuwu

trionescn

多谢分享

梦じ如何演绎