отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Cisco ASA5510+AIP-SSM10 transparent mode

Прошу помощи в теоретической реализации нижепреведенной схемы. Есть 2 провайдера, оба предоставляют как доступ в интернет, так и приватный wan (для линков на удаленные офисы). Физически - 2 оптики, в которых в разных вланах предоставляются разные услуги. Сеть головного офиса поделена на 3 влана - пользователи, дмз, внутренние сервера. С удаленными офисами - 2 DMVPN облака через приватные wan от разных провов на 2811, на нем же remote access vpn и l2l vpn с партнерами. Сразу оговорюсь - суммарный потребляемый трафик каналов не больше 20 мбит.

Вопрос: может ли asa в прозрачном режиме пропускать через себя транк (соответственно должна быть возможность фильтровать acl-ами трафик всех 3-х вланов), может ли ips модуль проверять трафик всех 3-х вланов?

Network_project_transparent_asa.png

Теги (3)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Cisco ASA5510+AIP-SSM10 transparent mode

Здравствуйте, Максим,

В режиме transparent mode на ASA поддерживаются только 2 интерфейса, т.е. это по сути бридж - L2 коммутатор на 2 порта.  При этом vlan интерфейсов у вас тоже будет использоваться только 2, даже если вы их сделаете.

Тем не менее, вы можете включить на ASA режим multiple context в сочетании с transparent mode, и сделать три секьюрити контекста (если лицензия позволит - см. show version -> security context).  Тогда каждый секьюрити контекст будет представлять из себя отдельный виртуальный L2 коммутатор на 2 порта.  Далее, в системном контексте, на двух физических интерфейсах ASA создаются по 3 vlan интерфейса на каждом, и далее каждому из трех секьюрити контекстов нужно присвоить по 2 vlan интерфейса, созданных на разных физических интерфейсах.  В этом случае ваши 2 физических интерфейса будут работать как транки по 3 vlan на каждом, и на каждой паре "входного" и "выходного" vlan-ов у вас будет отдельный виртуальный файрволл (ASA transparent) с отдельным конфигурационным файлом.

Обращаю внимание, что есть фичи, которые НЕ поддерживаются в режиме multiple context:

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/contexts.html#wp1116132

По поводу IPS - при наличии 3 контекстов у вас три независимых конфигурационных файла, и в каждом из них вы можете настроить инспектирование трафика модулем IPS.  C разных контекстов можно класс-мапами заворачивать на IPS разный трафик и разные протоколы. 

Основная проблема - производительность модуля IPS.  ASA переварит 20 мегабит в любом случае, а вот переварит ли IPS модуль 20 мегабит или нет, выясняется только экспериментально, так как реальная загрузка CPU на IPS зависит от конкретного трафика, который он инспектирует и от количества включенных сигнатур. 

Если вы включите IPS и получите high CPU на IPS и задержки пакетов, то надо будет сделать одно из двух:

- или уменьшить количество инспектируемого трафика перенастройкой ACL в класс-мапах, использумых для инспектирования (инспектировать не все сессии и не все протоколы)

- или посмотреть на IPS командой show stat virtual-sensor, какие сигнатуры срабатывают чаще всего, и отключить их.  Повторять до результата, или до понимания, что дальше сигнатуры отключать уже нельзя, и нужно уменьшать долю инспектируемого трафика на ASA.

С уважением,

Сергей.

2 ОТВЕТ.

Cisco ASA5510+AIP-SSM10 transparent mode

Здравствуйте, Максим,

В режиме transparent mode на ASA поддерживаются только 2 интерфейса, т.е. это по сути бридж - L2 коммутатор на 2 порта.  При этом vlan интерфейсов у вас тоже будет использоваться только 2, даже если вы их сделаете.

Тем не менее, вы можете включить на ASA режим multiple context в сочетании с transparent mode, и сделать три секьюрити контекста (если лицензия позволит - см. show version -> security context).  Тогда каждый секьюрити контекст будет представлять из себя отдельный виртуальный L2 коммутатор на 2 порта.  Далее, в системном контексте, на двух физических интерфейсах ASA создаются по 3 vlan интерфейса на каждом, и далее каждому из трех секьюрити контекстов нужно присвоить по 2 vlan интерфейса, созданных на разных физических интерфейсах.  В этом случае ваши 2 физических интерфейса будут работать как транки по 3 vlan на каждом, и на каждой паре "входного" и "выходного" vlan-ов у вас будет отдельный виртуальный файрволл (ASA transparent) с отдельным конфигурационным файлом.

Обращаю внимание, что есть фичи, которые НЕ поддерживаются в режиме multiple context:

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/contexts.html#wp1116132

По поводу IPS - при наличии 3 контекстов у вас три независимых конфигурационных файла, и в каждом из них вы можете настроить инспектирование трафика модулем IPS.  C разных контекстов можно класс-мапами заворачивать на IPS разный трафик и разные протоколы. 

Основная проблема - производительность модуля IPS.  ASA переварит 20 мегабит в любом случае, а вот переварит ли IPS модуль 20 мегабит или нет, выясняется только экспериментально, так как реальная загрузка CPU на IPS зависит от конкретного трафика, который он инспектирует и от количества включенных сигнатур. 

Если вы включите IPS и получите high CPU на IPS и задержки пакетов, то надо будет сделать одно из двух:

- или уменьшить количество инспектируемого трафика перенастройкой ACL в класс-мапах, использумых для инспектирования (инспектировать не все сессии и не все протоколы)

- или посмотреть на IPS командой show stat virtual-sensor, какие сигнатуры срабатывают чаще всего, и отключить их.  Повторять до результата, или до понимания, что дальше сигнатуры отключать уже нельзя, и нужно уменьшать долю инспектируемого трафика на ASA.

С уважением,

Сергей.

New Member

Cisco ASA5510+AIP-SSM10 transparent mode

Спасибо за развернутый ответ.

1044
Просмотры
10
Полезный материал
2
Ответы