本文详细介绍了Cisco ASA防火墙的多模式配置,包括配置要点、不支持的特性、原理以及应用场景。重点讨论了透明和路由context模式的差异,强调了admin VFW在管理中的角色,以及解决共享接口目的非接口地址通信问题的方法。此外,还提供了配置示例,展示了如何创建和关联接口给不同的VFW。
ASA 5505不支持context mode
路由context mode可以共享接口
透明context mode不可以共享物理接口(可以通过子接口来实现),而且不同的VFW都必须在不同的子网内
多模式不支持如下feature
1,VPN
2,组播
3,动态路由协议
原理
相当于把一个硬件的防火墙虚拟成很多虚拟的防火墙,每个VFW都拥有独立的配置、接口、安全策略以及标准防火墙的选项,系统全局配置主要是系统全局创建 VFW并把接口和VFW关联起来,但是在系统全局配置中使没有任何网络相关的设置,没有IP,所以就需要一个admin VFW,用它的路由功能来为全局系统配置提供服务,可以利用它来和AAA通信以及让用户可以telnet到这台ASA来且换到其他VFW上来配置,也可以 基于admin VFW作为跳板来管理其他VFW。
注意!!!admin VFW可以用来传流量
admin-context VFW名字 ---只有telnet到这个名字的VFW上,才可以切换到系统以及切换到其他VFW上
什么时候需要用到VFW
1,IDC里用到,一个物理防火墙为很多公司提供服务
2,大的企业为他的部门或者分支提供不同的安全策略
3,遇到重叠的网段,可以通过不同的VFW来处理
什么情况下公司内部需要共享物理接口
1,当所有VFW要和AAA通信时可以在内部共享一个连接AAA的物理接口,但是此时AAA不能上网
两大类配置
系统全局配置---物理防火墙有一个全局的系统配置文件,它的作用就是为每个VFW设置基本配置。例如创建VFW以及把物理接口和VFW进行关联
VFW独立配置---每个VFW都有自己的配置文件
包分类(如何把数据给适当的VFW来处理)
1,基于源接口或者SVI子接口(当从某个和VFW绑定的接口进来的流量,必定给这个VFW来处理)
2,(共享接口)基于目的地址(这个目的地址指的是VFW共享物理接口里的VFW虚拟接口地址,虽然物理MAC是一样的,但是IP不同,可以分给相应的VFW处理)
3,(共享接口)唯一的mac地址(默认所有context共享物理口的MAC,现在通过命令可以使每个context interface拥有自己独立的MAC来分类)
注意!!!(共享接口)基于目的的时候会出现问题,比如,如果inside的物理接口共享给了2个VFW,当从这个接口收到目的是公网IP的流量时,由于 从同一接口以及目的IP不是VFW的inside接口IP地址(虽然网关是正确的VFW接口IP,但是最终用的是物理接口的MAC),所以不知道把这个数 据交给哪个VFW,就会丢包
解决共享接口,目的非接口地址不通问题的方法
在需要处理这个流量的VFW里配置
1,做目的IP的static的转换(有目的IP的NAT转换表的VFW处理该数据) 作用:告诉ASA,目的是这个IP的交给这台VFW处理
2,global (收到数据的接口
最低0.47元/天 解锁文章
扫一扫
1744
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
