close
最近由於專案的關係  一口氣裝了十台Cisco ASA Firewall
和之前的PIX比起來    有些不一樣的地方和用法
寫在這留個記錄...
以往PIX OS 6.x的時代  由於Adaptive Security Algorithm的關係
不同security level的interface之間要溝通
就要做address translation.
這在一般企業將防火牆放在Internet出口的例子是相當常見
但現在有愈來愈多的企業  在公司內部開始部署防火牆
不同security level的interface之間就不能做address translation
這樣的需求在PIX 6.x裡需要用
static (inside, dmz) x.x.x.0 x.x.x.0 netmask 255.255.255.0
or nat 0 來處理

說實在的  蠻dummy的
很容易忘了設  然後在那troubleshoot半天還找不出問題..

在現在ASA 7.x裡多了一個nat-control的指令
只要在config mode 下輸入no nat-control
在不同security level interface的traffics互通就不用做address translation.
而會像router一樣 perform packet forward.

除此之外  在做專案時遇到一個好玩的事
由於客戶的需求 我設定了ASA lan-based stateful failover
還有join OSPF to perform route exchange.
眾多的failover pairs我設定有關failover & stateful的IP全部設一樣
想說我在OSPF裡也沒有帶進failover & stateful設定的192.168.255.x網段
應該不會對routing process有影響
結果我錯了... 在和一堆ASA failover pairs介接的Cisco Catalyst 6509上
看到這些OSPF Neighbors的Router-ID都是一樣的
都帶著failover & stateful link的IP address.
這樣在進行route exchange時會一直跳來跳去
最後在ASA的ospf router configuration裡手動指定router-id來解決
算是比較特別的經驗...

最後... 一定要講一下..
Cisco ASA的WebVPN設定真是不人性... XD
arrow
arrow
    全站熱搜

    allenhua 發表在 痞客邦 留言(3) 人氣()

    E-mail轉寄