注意:
- 防火墙默认封装dot1q
- 有nat-control这条命令的如果不做nat就不会通
- ASA防火墙只有子网掩码,不支持反掩码
- 做实验为了能看到效果在outside接口关联一个permit any any的ACL,但现实环境一定不能这样做,否则,这个防火墙没有任何意义。
- 防火墙对到达自己的流量不起作用,只对初始化流量起作用,也就是说ACL并不能拒绝流量的到达防火墙,对返回的流量也不起作用,因为返回的流量不是初始化流量,防火墙就不会查看访问控制列表,只看状态话信息。(比如说在outside接口in方向关联一个permit any any的ACL,然后在inside接口的in方向关联一个deny any any 的ACL,这时候也是可以通的,因为一旦穿越了防火墙,防火墙就有了它的状态化信息,就不会再看ACL)
既然ACL不能控制抵达防火墙的流量,那么可以通过以下命令进行控制
Icmp permit anyecho-reply------用来对ping包的控制
6.由于防火墙是查看状态化信息来放行TCP和UDP流量的,所以像ICMP,ESP,GRE这些没有状态化信息的协议流量是回不来的
ACL
清除