思科ASA8.4.2 2层透明墙基本实施和配置用例
2012-08-18 08:31
537 查看
1.在ASA 8.4.2透明墙的新变化
1.bridge-group的配置
2.透明墙可以添加4个接口,基于每一个bridge-group中
2.bridge-group
主要是用来替代多模式的特性
在实际应用中是把接口加入bridge-group中,利用bridge-group来为每一个网络来提供服务
对于每一个bridge-group来说,流量都是独立的
对于bridge-group之间的流量想要互相通信的话,流量必须先被路由出ASA再被ASA接收才能进入另一个bridge-group
虽然流量对于bridge-group而言是被独立的但是对于体统提供的服务却是统一给予的,比如AAA,比如日志系统的使用。
在一个子墙中,最少一个bridge-group
int bri 1
ip address 10.1.1.1 255.255.255.0 -----这里取代以前的管理地址
Bridge-group在实际的接口处会被调用
在8.4.2中基于bridge-group架构的透明防火墙的配置
3.ARP INSPITION的配置
该特性主要是弥补2层墙的允许ARP信息通过所实施的特性。这里通过的ARP信息主要是指ARP的请求信息
全局配置
ASA(config)# arp-inspection outside enable ?
configure mode commands/options:
flood Flood arp requests
no-flood Do not flood arp requests
<cr>
这里的flood也是指ARP的请求信息
这个时候要到全局下面配置相应的ARP表项的操作
ASA(config)# arp outside 10.1.1.1 c200.0520.0020
这样ARP的请求信息中源MAC和源IP的请求报文就可以通过了,注意这里指的是ARP数据包中的信息
ASA# show arp-inspection
interface arp-inspection miss
----------------------------------------------------
outside enabled no-flood
inside disabled -
4.静态MAC地址表项的绑定
这里是2层墙对于未知MAC的处理方式
ASA(config)# mac-address-table static inside 00.01.01
ASA(config)#
ASA# show mac
ASA# show mac-a
ASA# show mac-address-table
interface mac address type Age(min) bridge-group
-----------------------------------------------------------------------------------
inside 0000.0100.0100 static 1
inside 0200.4c4f.4f50 dynamic 4 1
inside c202.0520.0020 dynamic 3 1
outside c200.0520.0020 static 1
outside cc01.0520.0000 dynamic 3 1
inside cc01.0520.f005 dynamic 3 1
outside cc01.0520.f004 dynamic 3 1
ASA#本文出自 “移动互联网创业” 博客,请务必保留此出处http://zhangjie26699.blog.51cto.com/626361/966082
1.bridge-group的配置
2.透明墙可以添加4个接口,基于每一个bridge-group中
2.bridge-group
主要是用来替代多模式的特性
在实际应用中是把接口加入bridge-group中,利用bridge-group来为每一个网络来提供服务
对于每一个bridge-group来说,流量都是独立的
对于bridge-group之间的流量想要互相通信的话,流量必须先被路由出ASA再被ASA接收才能进入另一个bridge-group
虽然流量对于bridge-group而言是被独立的但是对于体统提供的服务却是统一给予的,比如AAA,比如日志系统的使用。
在一个子墙中,最少一个bridge-group
int bri 1
ip address 10.1.1.1 255.255.255.0 -----这里取代以前的管理地址
Bridge-group在实际的接口处会被调用
在8.4.2中基于bridge-group架构的透明防火墙的配置
3.ARP INSPITION的配置
该特性主要是弥补2层墙的允许ARP信息通过所实施的特性。这里通过的ARP信息主要是指ARP的请求信息
全局配置
ASA(config)# arp-inspection outside enable ?
configure mode commands/options:
flood Flood arp requests
no-flood Do not flood arp requests
<cr>
这里的flood也是指ARP的请求信息
这个时候要到全局下面配置相应的ARP表项的操作
ASA(config)# arp outside 10.1.1.1 c200.0520.0020
这样ARP的请求信息中源MAC和源IP的请求报文就可以通过了,注意这里指的是ARP数据包中的信息
ASA# show arp-inspection
interface arp-inspection miss
----------------------------------------------------
outside enabled no-flood
inside disabled -
4.静态MAC地址表项的绑定
这里是2层墙对于未知MAC的处理方式
ASA(config)# mac-address-table static inside 00.01.01
ASA(config)#
ASA# show mac
ASA# show mac-a
ASA# show mac-address-table
interface mac address type Age(min) bridge-group
-----------------------------------------------------------------------------------
inside 0000.0100.0100 static 1
inside 0200.4c4f.4f50 dynamic 4 1
inside c202.0520.0020 dynamic 3 1
outside c200.0520.0020 static 1
outside cc01.0520.0000 dynamic 3 1
inside cc01.0520.f005 dynamic 3 1
outside cc01.0520.f004 dynamic 3 1
ASA#本文出自 “移动互联网创业” 博客,请务必保留此出处http://zhangjie26699.blog.51cto.com/626361/966082
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐