Cisco ASA 透明模式配置

Cisco ASA 透明模式配置

透明模式只支持两个接口，透明模式也可以用multi-context
注意透明模式没有nat,没有路由
1. 3层流量要明确放行（ospf，eigrp），要想跨防火墙建邻居，两边都要permit
2. 直连的outside和inside网络必须属于相同子网
3. 必须要配置一个网管ip地址,必须~~~
4 网管ip和内外网ip在同一段.
5. 管理ip不能做内网网关
6. 可以配置网关,但是只做网管用，远程访问防火墙用
7. 每个接口必须在不同vlan,（这个是看的资料上写的，暂时不是很理解）
8. 所有流量都可由ip acl和ethernet acl控制是否放行，eth acl只能管二层流量，但是如果deny any了，则 2，3层都不过
9. arp不需要放行就可以过去,除arp外，所有二层流量默认都不通
10. cdp不可以过
透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpn



ACL对于没有状态的协议是需要两边都放行，有状态的协议防火墙通过查找状态表来允许流量。






配置一



firewall transparent
切换成透明模式
interface GigabitEthernet00
nameif outside
security-level 0
interface GigabitEthernet01
nameif inside
security-level 100
定义接口级别

access-list out-in extended permit tcp any any eq www
access-list out-in extended permit icmp any any 允许ICMP穿越ASA
访问规则定义
ip address 172.16.1.100 255.255.255.0
管理IP
access-group out-in in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
route inside 10.10.1.0 255.255.255.0 172.16.1.1 1
定义路由
asdm image disk0asdm-507.bin
定义ASDM路径，有时候需要指定
http server enable
http 0.0.0.0 0.0.0.0 inside
启用ASDM管理