ASA8.3通过Cisco安全设备的连通性建立和故障排除.PDFVIP

ASA 8.3：通过Cisco安全设备的连通性建立和故 障排除 目录 简介 先决条件 要求 使用的组件 规则 通过 ASA 的连接如何工作 配置通过 Cisco ASA 的连接 允许 ARP 广播流量 允许的 MAC 地址 在路由器模式下不允许通过的流量 解决连接问题 错误消息 - %ASA-4-407001： 相关信息 简介 当初始配置思科自适应安全设备 (ASA) 时，它有一个内部所有人都能出去而外部没有人能进入的默 认安全策略。如果您的站点需要一个不同的安全策略，您可允许外部用户通过 ASA 连接至您的 Web 服务器。 建立通过 Cisco ASA 的基本连接后，您可对防火墙进行配置更改。确保您对 ASA 做出的任何配置 更改都符合您的站点安全策略。 请参阅 PIX/ASA：有关在 8.2 及更低版本的 Cisco ASA 上进行相同配置的信息，请参阅建立通过思 科安全设备的连接并进行故障排除。 先决条件 要求 本文档假设一些基本配置已在 Cisco ASA 上完成。请参阅以下文档以获取初始 ASA 配置的示例： ASA 8.3(x) ：将一个内部网络连接至互联网 在思科自适应安全设备 (ASA) 上配置 PPPoE 客户端 使用的组件 本文档中的信息基于运行 8.3 及以上版本的 Cisco 自适应安全设备 (ASA). 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 通过 ASA 的连接如何工作 在此网络中，主机 A 是内部地址为 的 Web 服务器。为 Web 服务器分配了外部（转换 ）地址 。Internet 用户必须指向 ，才能访问 Web 服务器。用于 Web 服务器的 DNS 条目必须为该地址。不允许来自 Internet 的其他连接。 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 配置通过 Cisco ASA 的连接 完成以下步骤以配置通过 ASA 的连接： 1. 创建一个定义内部子网的网络对象，并为 IP 池范围定义另一个网络对象。使用以下网络对象 配置 NAT： object network inside-net subnet object network outside-pat-pool range 0 0 nat (inside,outside) source dynamic inside-net outside-pat- pool 2. 为 Internet 用户有权访问的内部主机分配静态转换地址。 object network obj- host nat (inside,outside) static 3. 使用 access-list 命令以允许外部用户通过 Cisco ASA。请始终在 access-list 命令 中使用转换 的地址。 access-list 101 permit tcp any host eq www access-group 101 in interface outside 允许 ARP 广播流量 安全设备在其内部接口和外部接口上连接相同的网络。由于防火墙不是一个路由跳，您可轻松地向 现有网络引入一个透明防火墙。无需进行 IP 再寻址。自动允许 IPv4 流量通过透明防火墙从较高的 安全接口到达较低的安全接口，无需访问列表。允许地址解析协议 (ARP) 在两个方向通过透明防火 墙，无需访问列表。ARP 流量可以由 ARP 检查功能控制。对于从低安全接口传输到高安全接口的 第 3 层流量，需要使用扩展的访问列表。 注意： 透明模式安全设备不传递 Cisco 设备发现协议 (CDP) 数据包或 IPv6 数据包，也不传递不大 于或等于 0x600 的有效 EtherType 的任何数据包。例如，您不能传递 IS-IS 数据包。网桥协议数据 单元 (BPDU) 受支持，这是个例外。 允许的 MAC 地址 以下目标 MAC 地址允许通过透明防火墙。不在此列表中的 MAC 地址会被丢弃： 等于 FFFF.FFFF.FFFF 的 TRUE 广播目标 MAC 地址 范围从 0100.5E00.0000 到 0100.5EFE.FFFF 的 IPv4 多