思科ASA拦截了非对称流量吗？

405759601 · 发表于 2016-5-13 09:34:13

本帖最后由 405759601 于 2016-5-13 11:07 编辑

因为客户逻辑拓扑弄得比较那什么，所以有些流量走向比较奇怪，如图所示吧。

现在问题是，像这种流量，ASA是不是拦截掉了，客户因此访问不到他们OA（像H3C、天融信防火墙对这种流量都是拦截掉的，但是可以通过设置解决，就不懂思科怎么弄）

如果确实是ASA拦截掉了怎么配置才能解决这个问题

sboku · 发表于 2016-5-13 09:34:14

duanzhili1982 发表于 2016-5-13 11:09
之前思科ASA的高端型号有一个ASR-group的技术可以解决不知道现在是不是ASA的低端型号也支持！

具体的 ...

ASR-group是在Failover环境下使用的。一台ASA的话，应该使用TCP State Bypass

405759601 · 发表于 2016-5-13 09:35:18

补充一下，ASA是透明模式

duanzhili1982 · 发表于 2016-5-13 10:02:42

状态化过滤的防火墙默认都会干掉非对称流量。因为你从防火墙另外一个口回来的包会被认为是攻击数据包

405759601 · 发表于 2016-5-13 10:05:08

duanzhili1982 发表于 2016-5-13 10:02
状态化过滤的防火墙默认都会干掉非对称流量。因为你从防火墙另外一个口回来的包会被认为是攻击数据包

如何放行这个单向流量

duanzhili1982 · 发表于 2016-5-13 10:09:33

之前思科ASA的高端型号有一个ASR-group的技术可以解决不知道现在是不是ASA的低端型号也支持！

具体的实现原理就是当一个接口接收到的数据包没有发现之前的session的时候，设备回去查询组里其他接口的session 如果能匹配就放行

405759601 · 发表于 2016-5-13 10:23:19

duanzhili1982 发表于 2016-5-13 10:09
之前思科ASA的高端型号有一个ASR-group的技术可以解决不知道现在是不是ASA的低端型号也支持！

具体的 ...

这个不一样，这里的只有去的流量经过防火墙，回来的流量就不再过防火墙了，不存在你说的其他接口

405759601 · 发表于 2016-5-13 10:25:05

sboku 发表于 2016-5-13 10:23
ASR-group是在Failover环境下使用的。一台ASA的话，应该使用TCP State Bypass

TCP State Bypass是一条命令吗？

405759601 · 发表于 2016-5-13 11:06:50

sboku 发表于 2016-5-13 10:23
ASR-group是在Failover环境下使用的。一台ASA的话，应该使用TCP State Bypass

已找到相关文档，谢谢

账号		自动登录	找回密码
密码			论坛注册

[已解决] 思科ASA拦截了非对称流量吗？

最佳答案

相关帖子

浏览过的版块

客服中心

投诉建议