思科ASA8.4.2 2层透明墙基本实施和配置用例

 

1.在ASA 8.4.2透明墙的新变化
     1.bridge-group的配置
     2.透明墙可以添加4个接口,基于每一个bridge-group中
2.bridge-group
   主要是用来替代多模式的特性
   在实际应用中是把接口加入bridge-group中,利用bridge-group来为每一个网络来提供服务
   对于每一个bridge-group来说,流量都是独立的
    对于bridge-group之间的流量想要互相通信的话,流量必须先被路由出ASA再被ASA接收才能进入另一个bridge-group
   虽然流量对于bridge-group而言是被独立的但是对于体统提供的服务却是统一给予的,比如AAA,比如日志系统的使用。
   在一个子墙中,最少一个bridge-group
 int bri 1
        ip address 10.1.1.1 255.255.255.0 -----这里取代以前的管理地址
Bridge-group在实际的接口处会被调用
计算机生成了可选文字: 啼啼
1O
勺甘’0.2
ManagementIP
BridgeGroupl
10.1.1.2
国
ManagementIP
BridgeGroupZ
0.2.1.2
1。.1.1.3尸乌1。2.1.3
啼啼
在8.4.2中基于bridge-group架构的透明防火墙的配置      
 
3.ARP INSPITION的配置
该特性主要是弥补2层墙的允许ARP信息通过所实施的特性。这里通过的ARP信息主要是指ARP的请求信息
全局配置
ASA(config)# arp-inspection outside enable ?
 
configure mode commands/options:
 flood     Flood arp requests
 no-flood Do not flood arp requests
 <cr>
这里的flood也是指ARP的请求信息
 
这个时候要到全局下面配置相应的ARP表项的操作
ASA(config)# arp outside 10.1.1.1 c200.0520.0020
 
这样ARP的请求信息中源MAC和源IP的请求报文就可以通过了,注意这里指的是ARP数据包中的信息
 
ASA# show arp-inspection
interface                arp-inspection         miss
----------------------------------------------------
outside                  enabled                no-flood
inside                   disabled                -
 
 
4.静态MAC地址表项的绑定
计算机生成了可选文字: BecausetheASA15afirewall,ifthedestinationMACaddressofapacket15notinthetable,theASA
doesnotfloodtheoriginalpacketonallinterfacesasanormalbridgedoes.Instead,itgeneratesthe
.Packetsfordirectly
ConneCtedde、,iCeS一Th
address,50thattheASAcanIearnwhichinterfacereceivestheARPresponse.
Packetsforremotedevices一TheASAgeneratesapingtothedestinationIPaddress50thattheASA
c不蔽而丽而后蔽裱碗不甭花而面而西
这里是2层墙对于未知MAC的处理方式
ASA(config)# mac-address-table static inside 00.01.01 
ASA(config)#
ASA# show mac
ASA# show mac-a
ASA# show mac-address-table
interface                   mac address          type      Age(min)   bridge-group
-----------------------------------------------------------------------------------
inside                     0000.0100.0100          static                 1
inside                     0200.4c4f.4f50          dynamic      4         1
inside                     c202.0520.0020          dynamic      3         1
outside                    c200.0520.0020          static                 1
outside                    cc01.0520.0000          dynamic      3         1
inside                     cc01.0520.f005          dynamic      3         1
outside                    cc01.0520.f004          dynamic      3         1
ASA#

你可能感兴趣的:(Cisco,asa,CCIE)