PPTP流量透传ASA透明模式

      昨天做了生产服务器对外的网络切割,主要是在现有的网络基础上,增加了一台ASA5510防火墙,为了减少对生产环境的影响,将防火墙改为透明模式,使用ACL对3层流量进行过滤,配置的要点,记录如下:
1、改为透明模式时,以前的配置,基本会被全部清空,因为在路由模式下的配置更改到透明模式时,很多是不可用的,所以在配置时,只能通过串口;
2、在透明模式下,只能配置两个接口,一进一出,并且这两个接口连接的网络需要在一个网段;
3、必须要配置设备地址,其实说白了也就是接口地址,虽然在show run时看不到接口上的ip地址配置,但是show int ip bri就能看到,进口和出口都有ip地址,并且ip地址都是一样的,而且这个ip地址需要和网关的地址相同,并且在配置之后,要添加默认路由,也就是添加网关。
4、配置的这个设备地址,只能从inside口访问(具体原因不详,根据实践,确实只能在inside访问),一般用这个接口来进行防火墙的管理。
以下是官网上看到的,进行一些补充:
5、不能使用设备地址代替内网的网关,需要指定防火墙前面的路由器地址作为网关;
6、必须要使用扩展acl才能匹配3层流量。

不支持的特性:
1、不支持NAT/PAT (待测)
2、动态路由协议
3、ipv6
4、DHCP中继;可以做DHCP服务器,但是不能中继DHCP;不需要中继,因为可以配置acl,让DHCP流量穿过;
5、QOS
6、VPN 中断,可以使用acl来匹配vpn流量,但是还需要进行策略配置,具体方法,如下:

class-map inspection_default
 match default-inspection-traffic
policy-map global_policy
 class inspection_default
  inspect pptp
service-policy global_policy global

如上设置默认策略,再使用扩展ACL匹配1723端口,这样便可以使pptp通过透明模式的防火墙。

posted @ 2012-10-26 20:03  沉默爆破手  阅读(1261)  评论(0编辑  收藏  举报