Cisco Cisco Identity Services Engine 1.3 빠른 설정 가이드
1-5
思科 ASA 系列常规操作 CLI 配置指南
第 1 章 思科 ASA 简介
ASA 服务模块如何与交换机配合使用
ASA 服务模块如何与交换机配合使用
可以在 Catalyst 6500 系列和思科 7600 系列交换机上安装 ASASM,并在交换机管理引擎和集成
MSFC 上都安装思科 IOS 软件。
MSFC 上都安装思科 IOS 软件。
注
不支持 Catalyst 操作系统 (OS)。
ASA 运行自己的操作系统。
交换机由一个交换处理器 (管理引擎)和一个路由器 (MSFC) 组成。虽然需要将 MSFC 作为系统
的一部分,但并不一定要使用它。如果选择使用 MSFC,可以向 MSFC 分配一个或多个 VLAN 接
口。或者,可以使用外部路由器来代替 MSFC。
的一部分,但并不一定要使用它。如果选择使用 MSFC,可以向 MSFC 分配一个或多个 VLAN 接
口。或者,可以使用外部路由器来代替 MSFC。
在单情景模式中,可以将路由器放置在防火墙的前面或后面 (请参阅
)。
路由器的位置完全取决于向其分配的 VLAN。例如,在
左侧的示例中,路由器位于防火墙
后面,因为向 ASASM 的内部接口分配了 VLAN 201。在
右侧的示例中,路由器位于防火
墙前面,因为向 ASASM 的外部接口分配了 VLAN 200。
第 2 层安全组标记施加
现在,您可以使用结合了以太网标记的安全组标记来实施策略。 SGT 加
以太网标记,也称为第 2 层 SGT 强制,使 ASA 能够使用思科专有以太网
帧 (Ether Type 0x8909) 在千兆以太网接口上发送和接收安全组标记,从而
将源安全组标记插入纯文本以太网帧。
以太网标记,也称为第 2 层 SGT 强制,使 ASA 能够使用思科专有以太网
帧 (Ether Type 0x8909) 在千兆以太网接口上发送和接收安全组标记,从而
将源安全组标记插入纯文本以太网帧。
我们引入或修改了以下命令:cts manual、 policy static sgt、 propagate
sgt、 cts role-based sgt-map、 show cts sgt-map、 packet-tracer、
capture、show capture、show asp drop、show asp table classify、show
running-config all、 clear configure all 和 write memory
sgt、 cts role-based sgt-map、 show cts sgt-map、 packet-tracer、
capture、show capture、show asp drop、show asp table classify、show
running-config all、 clear configure all 和 write memory
AAA Windows NT 域身份验证移除
我们移除了对于远程访问 VPN 用户的 NTLM 支持。
我们弃用了以下命令:aaa-server protocol nt
监控功能
监控物理接口的汇聚流量
show traffic 命令输出已经更新,包括物理接口信息的汇聚流量。如要启
用该功能,必须先输入 sysopt traffic detailed-statistics 命令。
用该功能,必须先输入 sysopt traffic detailed-statistics 命令。
表
1-1
ASA 9.3(1)
版本的新功能
(续)
功能
说明