Настройка прозрачного режима (Transparent Mode) на Cisco ASA
Cisco ASA Transparent Mode –
Администраторы сети и безопасности, работающие над новой настройкой или миграцией приложений / служб, могут столкнуться с проблемой настройки Cisco ASA в прозрачном режиме, чтобы иметь минимальные конструктивные изменения и соответствовать некоторым ключевым бизнес-требованиям, таким как поддержка не-IP трафика, минимальное изменение в структуре IP-адреса и маршрутизации и т. д.
Эта статья поможет понять принцип работы Transparent Mode в Cisco ASA Firewall и как его настроить.
Сначала давайте поймем, что мы получаем, используя Firewall в Transparent Mode:
Преимущества использования брандмауэра в Transparent Mode – не изменяется существующая IP-адресация или сервера. Протоколы маршрутизации могут устанавливать смежность через протоколы межсетевого экрана, такие как HSRP, VRRP, GLBP. Многоадресные потоки могут проходить через брандмауэр. Разрешается не-IP-трафик (IPX, MPLS, BPDU).
Основные характеристики межсетевого экрана ASA при настройке Transparent Mode –
• Transparent Mode межсетевого экрана поддерживает только два интерфейса (внутри и внешний).
• Межсетевой экран пересылает пакеты из одной VLAN в другую вместо их маршрутизации.
• Выполняется MAC-поиск, вместо поиска в таблице маршрутизации.
• Может работать в одном контексте межсетевого экрана или в нескольких контекстах межсетевого экрана.
• Требуется управляющий IP-адрес на ASA.
• Управляющий IP-адрес должен находиться в той же подсети, что и подключенная сеть.
• Каждый интерфейс ASA должен быть различным интерфейсом VLAN.
• Несмотря на то, что устройство действует как мост уровня 2, трафик уровня 3 не может проходить через устройство безопасности с более низкого уровня безопасности на интерфейс с более высоким уровнем безопасности.
• Брандмауэр может пропустить любой трафик, используя обычные расширенные списки контроля доступа (ACL).
Функции, не поддерживаемые Transparent Mode –
• Ретрансляция DHCP – прозрачный брандмауэр может выступать в качестве сервера DHCP, но он не поддерживает команды ретрансляции DHCP.
• Протоколы динамической маршрутизации не будут разрешены, однако мы можем добавить статические маршруты для трафика, происходящего на ASA
• Многоадресная IP-маршрутизация
• QoS
• VPN termination – Transparent Mode поддерживает site-to-site VPN-туннели для подключения только управления, но не управления подключениями.
Пример ниже поможет вам понять концепцию и настройку, необходимые в Transparent mode.
Пошаговая конфигурация межсетевого экрана ASA показана ниже –
Шаг 1 –
В configuration режиме выполните команду firewall transparent:
Шаг 2 –
Затем назначьте физические интерфейсы для VLAN с помощью команды switchport access и включите физические интерфейсы с помощью команды no shutdown:
Шаг 3 –
После настройки физических интерфейсов необходимо настроить интерфейсы VLAN, указав им имена и назначив их одной bridge-group:
Шаг 4 –
Теперь вы можете настроить IP-адрес управления через Bridge Virtual Interface (BVI):
Теперь брандмауэр готов к использованию в Transparent Mode.