目录
实验难度 | 2 |
实验复杂度 | 2 |
一、TCP状态化旁路相关概述
当我们TCP的流量从ASA防火墙出去的时候,防火墙会把这个流量的状态化信息记录在状态化表,当返回相关的数据流时,因为相关状态化表项存在表中,所以防火墙会直接放行这个数据流量。那么,如果,是另外一种情况,比如下图中,R1远程telnet R2,它是从ASA上发送流量的,那么,如果R2是从R1处返回这个回应包呢?那肯定是不能成功的,但是ASA防火墙是可以实现状态化旁路的,这个可以解决异步路由的问题(数据包从一个接口出去,却从另外一个接口回来)。现在,我们通过实验来理解一下这个旁路的内容。
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑图;
2.初始化路由器,配置相应的IP地址;
3.初始化防火墙,防火墙的名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20,测试直连网络的连通性;
4.在R1上配置默认路由,下一跳指向ASA防火墙,在R2上配置配置路由下一跳指向R1;
5.在R2上配置特权密码为ccie,使用用户名与密码:sec/ccie 进行远程登陆;
6.在ASA上配置相关的TCP旁路信息:
1) ACL名称:R12,行为:放行R1的192.168.1.1这个主机到192.168.100.1这个主机的telnet流量;
2)class-map名称:telnet,行为:匹配R12这个ACL;
3)policy-map:global_policy,行为:匹配telnet这个类映射,进行TCP旁路。
7.测试。
四、实验过程
1.搭建如图所示的网络拓扑图;
略。
2.初始化路由器,配置相应的IP地址;
略。
3.初始化防火墙,防火墙的名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20,测试直连网络的连通性;
测试:
4.在R1上配置默认路由,下一跳指向ASA防火墙,在R2上配置配置路由下一跳指向R1;
5.在R2上配置特权密码为ccie,使用用户名与密码:sec/ccie 进行远程登陆;
测试:
这个时候发现R1是无法远程R2的。
6.在ASA上配置相关的TCP旁路信息:
1) ACL名称:R12,行为:放行R1的192.168.1.1这个主机到192.168.100.1这个主机的telnet流量;
2)class-map名称:telnet,行为:匹配R12这个ACL;
3)policy-map:global_policy,行为:匹配telnet这个类映射,进行TCP旁路。
7.测试。
现在我们可以看到R1是可以进行远程R2了,这个实际上是一个异步传输的路由问题,个人是不建议采用这种方式的,因为防火墙本身就是一个安全工具,这样做它就相当于一个路由器,无法突出ASA防火墙的防护作用。
拓展知识:
我们可以在telnet测试的时候,在ASA的接口与R2与R1的连接接口上抓包,里面的信息是比较有趣的,这个有兴趣的朋友自己可以动手操作一下。
代码解析:
ASA(config-pmap-c)# set connection advanced-options tcp-state-bypass //在policy-map中设置tcp旁路功能
总结
这个ASA的TCP旁路实验操作起来很简单,但是个人不建议这样做,因为这样做会失去了防火墙的意义。好了,我们在下一个章节再见,加油!