Доброго времени суток!
Пытаюсь сконфигурировать данное оборудование в transparent-режиме.
Контекст одиночный (mode single). firewall transparent уже включен.
Насколько я понял из цискодоков, мне необходимо собрать интерфейсы в бридж, создав его к примеру, командой:
(config)# interface BVI1
Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся, потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах (или прописываем acl) и все работает?
Но почему не создается бридж?
Кстати, я так понял, в transparent с single-mode может работать только 2 порта + менеджмент порт, вроде я попадаю в ограничения...
Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются.
>[оверквотинг удален]
> его к примеру, командой:
> (config)# interface BVI1
> Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые
> концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся,
> потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах
> (или прописываем acl) и все работает?
> Но почему не создается бридж?
> Кстати, я так понял, в transparent с single-mode может работать только 2
> порта + менеджмент порт, вроде я попадаю в ограничения...
> Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются.Отвечаю сам себе: bridge-groups появились только в 8.4...
Видимо, только через multiple-context это придется настраивать.
> Отвечаю сам себе: bridge-groups появились только в 8.4...
> Видимо, только через multiple-context это придется настраивать.Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы хотите получить? Просто bump in the wire?
http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
>> Отвечаю сам себе: bridge-groups появились только в 8.4...
>> Видимо, только через multiple-context это придется настраивать.
> Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы
> хотите получить? Просто bump in the wire?
> http://www.cisco.com/en/US/docs/security/asa/asa82/configura...Просто bump in the wire, без nat, с возможностью фильтрации трафика.
В single-mode у меня просто не коммутировался трафик.
Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика для ip и icmp + l2 acl опять-таки на permit any.
> Просто bump in the wire, без nat, с возможностью фильтрации трафика.
> В single-mode у меня просто не коммутировался трафик.
> Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика
> для ip и icmp + l2 acl опять-таки на permit any.Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются?
>> Просто bump in the wire, без nat, с возможностью фильтрации трафика.
>> В single-mode у меня просто не коммутировался трафик.
>> Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика
>> для ip и icmp + l2 acl опять-таки на permit any.
> Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются?Честно говоря, за недостатком времени был вынужден перевести в режим routed и переделать схему, сейчас работает.
Конфиг был очень похож на указанный на сайте циски, не помню сейчас про дропы, но между узлами не проходил ни icmp ping, ни udp trace (при разрешенных всех видах трафика через акцес-листы). Если у Вас где-то есть рабочая заготовка для firewall transparent, покажите, пожалуйста.
Так же пробовал выставить одинаковый уровень безопасности интерфейсам и включить same-security, в routed - работает, в transparent - не работает. У меня есть подозрения на версию прошивки.
Спасибо за помощь.