Comments 7
Вроде как бы все сложно, но интересно пишите. Понятнее становится)
0
Расскажите про acl на vlan. А именно когда они там срабатывают, когда не срабатывают. С портами то все понятно, где там точки входа и выхода, а вот с vlan'ами, ведь траффик может придти уже с тегом и на вход его не проверить. Ну надеюсь поняли о чем я =)
0
Надеюсь, что вопрос про АСА?
Тогда давайте не будем «смешивать уровни OSI».
Когда приходит помеченный фрейм, то обрабатываться он будет логическим подинтерфейсом, который настроен для обработки именно этого тэга.
int g0/0.100
vlan 100
ip addr {IP}
nameif {name}
sec {security-level}
Если придёт не помеченный (native) он попадет на сам интерфейс.
Итак, имеем фрейм, в заголовке стоит тэг (метка), означающая номер ВЛАНа. Ищем на АСАшке подинтерфейс, ответсвенный за обработку пришедшего тэга. Если находим (разумеется, поиск происходит в рамках интерфейса, на который свалился фрейм) то передаем на обработку, т.е. снимаем все заголовки канального уровня… и получаем голый ip пакет, к которому применимы все правила обработки, описанные в этой статье. А интерфейс, к которому мы будем прикручивать правила на самом деле является подинтерфейсом, но с точки зрения АСЫ разницы никакой нет. Такой подинтерфейс для АСЫ — полноценный логический интерфейс со своими настройками.
Я ответил на ваш вопрос? Я не очень уверен, что 100% понял его :)
Тогда давайте не будем «смешивать уровни OSI».
Когда приходит помеченный фрейм, то обрабатываться он будет логическим подинтерфейсом, который настроен для обработки именно этого тэга.
int g0/0.100
vlan 100
ip addr {IP}
nameif {name}
sec {security-level}
Если придёт не помеченный (native) он попадет на сам интерфейс.
Итак, имеем фрейм, в заголовке стоит тэг (метка), означающая номер ВЛАНа. Ищем на АСАшке подинтерфейс, ответсвенный за обработку пришедшего тэга. Если находим (разумеется, поиск происходит в рамках интерфейса, на который свалился фрейм) то передаем на обработку, т.е. снимаем все заголовки канального уровня… и получаем голый ip пакет, к которому применимы все правила обработки, описанные в этой статье. А интерфейс, к которому мы будем прикручивать правила на самом деле является подинтерфейсом, но с точки зрения АСЫ разницы никакой нет. Такой подинтерфейс для АСЫ — полноценный логический интерфейс со своими настройками.
Я ответил на ваш вопрос? Я не очень уверен, что 100% понял его :)
0
Пакет фильтруеся только если попадает в фареволл извне? Те может ли пакет быть обработан фильтром на выходе одного суб-интерфейса и фильтром на входе другого суб-интерфейса, не покидая железку(например при маршрутзации)?
0
Первым делом мы проверим ACL на вход интерфейса (см. UPD топика). Если разрешение есть, то далее мы его обработаем и по таблице маршрутизации определим исходящий интерфейс. После этого проверим, есть ли на этом интерфейсе исходящий ACL и применим его.
0
Sign up to leave a comment.
ASA: списки доступа (продолжение цикла статей про ASA)