URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1142
[ Назад ]

Исходное сообщение
"cisco asa 5520 transparent"

Отправлено anonymous , 16-Дек-13 21:37 
Доброго времени суток!
Пытаюсь сконфигурировать данное оборудование в transparent-режиме.
Контекст одиночный (mode single). firewall transparent уже включен.
Насколько я понял из цискодоков, мне необходимо собрать интерфейсы в бридж, создав его к примеру, командой:
(config)# interface BVI1
Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся, потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах (или прописываем acl) и все работает?
Но почему не создается бридж?
Кстати, я так понял, в transparent с single-mode может работать только 2 порта + менеджмент порт, вроде я попадаю в ограничения...
Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются.

Содержание

Сообщения в этом обсуждении
"cisco asa 5520 transparent"
Отправлено anonymous , 16-Дек-13 22:05 
>[оверквотинг удален]
> его к примеру, командой:
> (config)# interface BVI1
> Однако, циска даже не предлагает создать BVI интерфейс. Объясните, пожалуйста, базовые
> концепции такой конфигурации: вроде, сначала включаем firewall transparent, перезагружаемся,
> потом создаем бридж/добавляем в него порты/настраиваем security-level на интерфейсах
> (или прописываем acl) и все работает?
> Но почему не создается бридж?
> Кстати, я так понял, в transparent с single-mode может работать только 2
> порта + менеджмент порт, вроде я попадаю в ограничения...
> Прошивка 8.2(1), ссылки на понятные гайды (англ, рус) - приветствуются.

Отвечаю сам себе: bridge-groups появились только в 8.4...
Видимо, только через multiple-context это придется настраивать.


"cisco asa 5520 transparent"
Отправлено jabbson , 16-Дек-13 23:20 
> Отвечаю сам себе: bridge-groups появились только в 8.4...
> Видимо, только через multiple-context это придется настраивать.

Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы хотите получить? Просто bump in the wire?
http://www.cisco.com/en/US/docs/security/asa/asa82/configura...


"cisco asa 5520 transparent"
Отправлено anonymous , 17-Дек-13 09:30 
>> Отвечаю сам себе: bridge-groups появились только в 8.4...
>> Видимо, только через multiple-context это придется настраивать.
> Зачем multiple?.. Multiple mode нужно настраивать, когда нужно multiple mode. Что Вы
> хотите получить? Просто bump in the wire?
> http://www.cisco.com/en/US/docs/security/asa/asa82/configura...

Просто bump in the wire, без nat, с возможностью фильтрации трафика.
В single-mode у меня просто не коммутировался трафик.
Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика для ip и icmp + l2 acl опять-таки на permit any.


"cisco asa 5520 transparent"
Отправлено jabbson , 17-Дек-13 13:08 
> Просто bump in the wire, без nat, с возможностью фильтрации трафика.
> В single-mode у меня просто не коммутировался трафик.
> Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика
> для ip и icmp + l2 acl опять-таки на permit any.

Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются?


"cisco asa 5520 transparent"
Отправлено anonymous , 17-Дек-13 16:42 
>> Просто bump in the wire, без nat, с возможностью фильтрации трафика.
>> В single-mode у меня просто не коммутировался трафик.
>> Конфиг вроде того, что Вы линканули, + acl на разрешение всего трафика
>> для ip и icmp + l2 acl опять-таки на permit any.
> Покажите конфиг - подумаем вместе. Трафик точно дропается? Счетчики увеличиваются?

Честно говоря, за недостатком времени был вынужден перевести в режим routed и переделать схему, сейчас работает.
Конфиг был очень похож на указанный на сайте циски, не помню сейчас про дропы, но между узлами не проходил ни icmp ping, ни udp trace (при разрешенных всех видах трафика через акцес-листы). Если у Вас где-то есть рабочая заготовка для firewall transparent, покажите, пожалуйста.
Так же пробовал выставить одинаковый уровень безопасности интерфейсам и включить same-security, в routed - работает, в transparent - не работает. У меня есть подозрения на версию прошивки.
Спасибо за помощь.