форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"cisco asa 5520 transparent"	+/–
Сообщение от anonymous (??) on 16-Дек-13, 21:37
Доброго времени суток! Пытаюсь сконфигурировать данное оборудование в transparent-режиме. Контекст одиночный (mode single). firewall transparent уже включен. Насколько я понял из цискодоков, мне необходимо собрать интерфейсы в бридж, создав его к примеру, командой: (config)# interface BVI1 Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся, потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах (или прописываем acl) и все работает? Но почему не создается бридж? Кстати, я так понял, в transparent с single-mode может работать только 2 порта + менеджмент порт, вроде я попадаю в ограничения... Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "cisco asa 5520 transparent"	+/–
Сообщение от anonymous (??) on 16-Дек-13, 22:05
>[оверквотинг удален] > его к примеру, командой: > (config)# interface BVI1 > Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые > концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся, > потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах > (или прописываем acl) и все работает? > Но почему не создается бридж? > Кстати, я так понял, в transparent с single-mode может работать только 2 > порта + менеджмент порт, вроде я попадаю в ограничения... > Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются. Отвечаю сам себе: bridge-groups появились только в 8.4... Видимо, только через multiple-context это придется настраивать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "cisco asa 5520 transparent"	+/–
	Сообщение от jabbson (ok) on 16-Дек-13, 23:20
	> Отвечаю сам себе: bridge-groups появились только в 8.4... > Видимо, только через multiple-context это придется настраивать. Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы хотите получить? Просто bump in the wire? http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "cisco asa 5520 transparent"	+/–
	Сообщение от anonymous (??) on 17-Дек-13, 09:30
	>> Отвечаю сам себе: bridge-groups появились только в 8.4... >> Видимо, только через multiple-context это придется настраивать. > Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы > хотите получить? Просто bump in the wire? > http://www.cisco.com/en/US/docs/security/asa/asa82/configura... Просто bump in the wire, без nat, с возможностью фильтрации трафика. В single-mode у меня просто не коммутировался трафик. Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика для ip и icmp + l2 acl опять-таки на permit any.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "cisco asa 5520 transparent"	+/–
	Сообщение от jabbson (ok) on 17-Дек-13, 13:08
	> Просто bump in the wire, без nat, с возможностью фильтрации трафика. > В single-mode у меня просто не коммутировался трафик. > Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика > для ip и icmp + l2 acl опять-таки на permit any. Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "cisco asa 5520 transparent"	+/–
	Сообщение от anonymous (??) on 17-Дек-13, 16:42
	>> Просто bump in the wire, без nat, с возможностью фильтрации трафика. >> В single-mode у меня просто не коммутировался трафик. >> Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика >> для ip и icmp + l2 acl опять-таки на permit any. > Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются? Честно говоря, за недостатком времени был вынужден перевести в режим routed и переделать схему, сейчас работает. Конфиг был очень похож на указанный на сайте циски, не помню сейчас про дропы, но между узлами не проходил ни icmp ping, ни udp trace (при разрешенных всех видах трафика через акцес-листы). Если у Вас где-то есть рабочая заготовка для firewall transparent, покажите, пожалуйста. Так же пробовал выставить одинаковый уровень безопасности интерфейсам и включить same-security, в routed - работает, в transparent - не работает. У меня есть подозрения на версию прошивки. Спасибо за помощь.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема