多虛擬防火墻的流量分類_第1頁
多虛擬防火墻的流量分類_第2頁
多虛擬防火墻的流量分類_第3頁
多虛擬防火墻的流量分類_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、當CISCO的ASA防火墻劃分了多個虛擬防火墻的時候,經(jīng)過ASA虛擬防火墻的數(shù)據(jù)包,都必須經(jīng)過分類,并發(fā)送到相應(yīng)的虛擬防火墻,進而轉(zhuǎn)發(fā)到相應(yīng)的目的地。ASA通過三種方式來區(qū)分各個虛擬防火墻的流量:            唯一的物理接口。            唯一的MAC地址。        

2、60;   通過NAT來決定數(shù)據(jù)包的走向。      本文將對這三種方式的流量分類,做一個簡單的介紹。      唯一的物理接口:      如果一個物理接口被單獨的分配給某一個虛擬防火墻,那么ASA將所有需要轉(zhuǎn)發(fā)到這個虛擬防火墻的流量轉(zhuǎn)發(fā)到該物理接口。在防火墻的傳輸模式下,必須為虛擬防火墻分配一個單獨的物理接口。所以在沒有共享接口的情況下,這種方法作為防火墻分類流量的方法。    &#

3、160; 這種方法比較簡單,在這里就不做過多的介紹。       唯一的MAC地址:      由于ASA的接口有限,所以在多虛擬防火墻的模式下,我們會經(jīng)常遇到一個接口同時分配給多個虛擬防火墻。這個時候使用物理接口來對流量進行分類的辦法將在這種情況下不再適用,因為防火墻無法確定流量究竟應(yīng)該轉(zhuǎn)發(fā)到哪個虛擬防火墻。我們需要使用其他的方法來對流量的走向進行區(qū)分,通常我們會使用自動或者手動為這個分配給多個虛擬防火墻的共享接口指定不同的MAC地址,防火墻將使用MAC地址來區(qū)分流量的走向。如圖1所

4、示: 圖1 使用唯一的MAC地址區(qū)分流量      我們從圖中可以看到,當流量進入屬于多個虛擬防火墻的共享接口時,防火墻在檢查目的IP地址的同時也檢查MAC地址,來決定數(shù)據(jù)包應(yīng)該轉(zhuǎn)發(fā)到哪一個虛擬防火墻下。默認情況下,共享接口沒有被指定唯一的MAC地址,每一個共享這個借口的虛擬防火墻都會使用該接口的物理MAC地址作為這個接口的MAC地址,這時,防火墻對該數(shù)據(jù)包的路由將會出現(xiàn)問題。我們可以為該接口指定MAC地址來解決這個問題。      手動指定MAC地址:  

5、0;   例如:      自動指定MAC地址:      在防火墻的SYSTEM平臺的全局配置模式下配置:mac-address auto      例如:      hostname(config# mac-address auto   通過NAT來決定數(shù)據(jù)包的走向:      如果沒有為接口指定唯一的M

6、AC地址,防火墻當收到一個通過共享接口的流量時,防火墻只會檢查目的IP地址。通過要使用目的IP地址來決定數(shù)據(jù)包的走向,那么防火墻必須知道目的地址是被定位在哪個虛擬防火墻上。NAT技術(shù)可以提供這樣的功能。NAT的轉(zhuǎn)換條目可以使防火墻將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的虛擬防火墻上。如圖2所示:圖2 使用NAT區(qū)分流量      如圖所示,當流量進入屬于多個虛擬防火墻的共享接口時,防火墻檢查目的IP地址的時候,發(fā)現(xiàn)匹配了NAT轉(zhuǎn)換條目,這時可以通過NAT轉(zhuǎn)換條目將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的地址。      例如:      配置靜態(tài)NAT轉(zhuǎn)換:      Context A:       Context B:       Context C:       當我們使用多防

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論