نشر ASA في الوضع الشفاف داخل FP9300

المقدمة

يصف هذا وثيقة كيف أن ينشر ASA شفاف في FP9300. بشكل افتراضي، عند نشر ASA ضمن FP9300 يكون وضع جدار الحماية هو الموجه، لا يوجد خيار لتحديد الوضع الشفاف كما هو الحال بالنسبة لقالب FTD.

جدار الحماية الشفاف، من ناحية أخرى، هو جدار حماية من الطبقة 2 يعمل مثل "التضاريس في السلك"، أو "جدار حماية التسلل"، ولا يرى على أنه موجه موجه إلى الأجهزة المتصلة. ومع ذلك، مثل أي جدار حماية آخر، يتم التحكم في التحكم في الوصول بين الواجهات، ويتم إجراء جميع فحوصات جدار الحماية المعتادة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الوضع الشفاف ASA

• بنية FP9300

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• FPR9K-SM-44 الذي يشغل إصدار FXOS 2.3.1.73
• برنامج ASA ل FP9300، الإصدار 9.6.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

عند نشر ASA، لا يوجد خيار لتحديد وضع جدار الحماية كما هو الحال عند نشر FTD:

بمجرد نشر ASA، يتم تكوينه مسبقا في الوضع الموجه:

asa# show firewall
Firewall mode: Router

asa# show mode
Security context mode: single

بما أنه لا يوجد خيار لتكوين وضع جدار الحماية من مدير الهيكل، فيجب القيام بذلك من واجهة سطر الأوامر (CLI) الخاصة ب ASA:

asa(config)# firewall transparent

asa(config)# show firewall
Firewall mode: Transparent

asa(config)# wr mem
Building configuration...
Cryptochecksum: 746a107e aa0959e6 0f374a5f a004e35e
2070 bytes copied in 0.70 secs
[OK]

بعد حفظ التكوين، يلزم إعادة تحميل لأنه يتم باستخدام جهاز ASA حتى عندما يكون الوضع الشفاف قد تم إعداده بالفعل على الجهاز. بمجرد تمهيد الجهاز، يكون الجهاز قد تم إعداده بالفعل في وضع شفاف وتم مسح جميع التكوين كما هو متوقع، ولكن في مدير الهيكل يظهر التكوين الأصلي الذي تم نشره بعد:

asa# show firewall
Firewall mode: Transparent

asa# show version | in up
Config file at boot was "startup-config"
asa up 1 min 30 secs

على Chassis Manager، يمكن التحقق من أن تكوين منفذ الإدارة تمت إزالته أيضا:

يجب إجراء عملية إعادة النشر في تكوين واجهة الإدارة وتكوين نظام المجموعة، إذا كانت تنطبق، من مدير الهيكل إلى الجهاز كما فعلنا في بداية النشر. تقوم إدارة الهيكل بإعادة اكتشاف الجهاز، وفي الخمس دقائق الأولى تظهر حالة الجهاز على أنها "وحدة أمان لا تستجيب" كما هو موضح في الصورة:

بعد دقيقتين، تتم إعادة تشغيل الجهاز:

التحقق من الصحة

بمجرد عودة ASA إلى الإنترنت، يمكن التأكد من أن الجهاز في الوضع الشفاف ومع عنوان IP للإدارة باستخدام هذا الأمر من CLI (واجهة سطر الأوامر):

asa# show firewall
Firewall mode: Transparent

asa# show ip
Management-only Interface: Ethernet1/1
System IP Address:
 ip address 10.1.1.3 255.255.255.0
Current IP Address:
 ip address 10.1.1.3 255.255.255.0


asa# show nameif
Interface       Name           Security
Ethernet1/1     management       0

تم طلب الميزة التي تتيح إمكانية تحديد وضع جدار حماية أثناء نشر ASA من مدير الهيكل من خلال العيوب CSCvc13164 وCSCvd91791.