第四天1.confige_transparent_firewall

透明防火墙

正常的防火墙叫做3层防火墙，路由防火墙。

基于mac地址来转发的。也是状态化监控

安全的交换机

1.是vlan是不一样的，配置一样的会报错

2.透明模式只能支持两个接口

3.透明模式也可以使用多模式

路由单模

透明单模

路由多模

透明多模

路由和透明不可以并存

不需要重新规划地址，排错方便。

不支持nat

不支持路由

透明防火墙特点：

1.3层流量需要明确放行(ospf,eigrp)，内外必须全部放行。

2.直连的网络必须要在相同的子网内部

3.必须要配置一个管理ip

4.网关ip必须和内外部的网段相同

5.网关ip不能作为网关来使用

6.可以指定一个特定接口抵达到Ip为默认网关，这个网关只用于网管作用。

7.每个接口必须在不同vlan8.所有的流量都可以通过extended access list (acl)(for ip traffic)或ethertype acl(for no ip traffic)来放行

9.arp是不需要放行，能够穿越的，但是你也可以通过arp inspection这个技术来控制

10.cdp是无法穿越的

透明防火墙不支持的协议

nat

路由协议

ipv6

dhcp relay

qos

multicast

vpn termination for through,为了网管作用的vpn是可以支持的。

traffic

检查防火墙当前状态命令：

show firewall

show mode

切换到透明模式命名:

firewall transparent

切换后路由模式的所有配置都消失

1.切换回router mode 使用no就可以

2.多模式的防火墙只能够支持一种类型，要么路由要么透明。

3.在切换模式的时候配置会丢失，需要备份配置

4.在贴配置的时候需要把frewall transparent放在前边

r1:

int e0/0

ip add 10.1.1.1 255.255.255.0

no sh

r2:

int e0/0

ip add 10.1.1.2 255.255.255.0

no sh

pix:

int e0

nameif outside

no sh

int e1

nameif intside

ip add 10.1.1.100 255.255.255.0

r1:

clear arp-cache(清理arp)

innt lo0

ip add 2.2.2.2 255.255.255.0

router ospf 1

router-id 2.2.2.2

net 2.2.2.2 0.0.0.0 area 0

net 10.1.1.0 0.0.0.255 area 0

r2:

int  lo0

ipa dd 1.1.1.1 255.255.255.255

router ospf 1

router-id 1.1.1.1

net 1.1.1.1 0.0.0.0 area 0

net 10.1.1.0 0.0.0.255 area 0

pix:

access-list per permit ospf any any

access-group per in in outside

access-group per in in inside(这样放行除了ospf能建立邻居其他都不会通,因为acl默认拒绝所有,所以内网只允许ospf流量,只有将内网设置成permit ip any any)

以太网的访问控制列表

所有2层协议除了arp,默认全部不允许通过，都需要双向放行才行(测试协议pppce)

只能对2层协议控制

例子:access-list eth ethertype permit 0x0806(arp)

arp 默认放行的

拒绝arp但是其他都过例子：deny 0x0806

arp inspection

1.一旦启用如果arp reply的映射条目正确就放行

2.如果不match就drop

3.如果找不到匹配你可以通过如下命令限制

4.arp-inspection interface_name enable [flood |no-food] 没找到就泛红或不泛红。没找到就丢弃。

arp映射

arp outside 10.1.1.1 0009.7cbe.2100

启用arp inspection

arp-inspection outside enable

如果mac地址没有找到,fw不像普通sw一样flood流量

1.如果是直连的设备，fw会发出arp进行解析

2.非直连设备，fw会ping这个地址等待学习从哪个接口收到这个包，原始包丢弃

可以关掉mac学习地址功能

在工程当中也是有必要的

mac-learn outside disable （关闭mac学习功能）

绑定mac地址

mac-address-table static inside 0010.7cbe.6101

查看

show mac-address-table

调试

debug arp-inspection

debug mac-address-table