Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

ACL

이 없어도 유니캐스트 IPv4 및 IPv6 트래픽이 상위 보안 인터페이스에서 하위 보안 인터

페이스까지 투명 방화벽 모드를 자동으로 통과할 수 있습니다.

액세스 규칙을 사용하여 브로드캐스트 및 멀티캐스트 트래픽을 전달할 수 있습니다. 

자세한 내용은 방화벽 구성 가이드를 참조하십시오.

ACL

이 없어도 ARP가 투명 방화벽을 양방향으로 통과할 수 있습니다. ARP 트래픽은 ARP 감

시로 제어할 수 있습니다.

ACL

이 없어도 Pv6 인접 디바이스 검색 및 라우터 요청 패킷이 투명 방화벽을 양방향으로 통

과할 수 있습니다.

하위 보안 인터페이스에서 상위 보안 인터페이스로 이동하는 Layer 3 트래픽의 경우, 하위 보안 

인터페이스에 확장 ACL이 필요합니다. 자세한 내용은 방화벽 구성 가이드를 참조하십시오.

아래의 대상 MAC 주소는 투명 방화벽을 통과할 수 있습니다. 이 목록에 없는 모든 MAC 주소는 

드롭됩니다.

FFFF.FFFF.FFFF

와 같은 TRUE 브로드캐스트 대상 MAC 주소

0100.5E00.0000

에서 0100.5EFE.FFFF 사이의 IPv4 멀티캐스트 MAC 주소

3333.0000.0000

에서 3333.FFFF.FFFF 사이의 IPv6 멀티캐스트 MAC 주소

0100.0CCC.CCCD

와 같은 BPDU 멀티캐스트 주소

0900.0700.0000

에서 0900.07FF.FFFF 사이의 AppleTalk 멀티캐스트 MAC 주소

라우팅 모드에서는 일부 트래픽이 ASA를 통과하지 못할 수 있으며 ACL에서 허용한 경우에도 마

찬가지입니다. 그러나 투명 방화벽 모드에서는 확장 ACL(IP 트래픽용) 또는 이더 타입 ACL(IP 이

외 트래픽)을 사용하여 거의 모든 트래픽이 통과할 수 있습니다.
이더 타입 ACL을 사용하여 IP 이외 트래픽(예: AppleTalk, IPX, BPDU, MPLS)이 통과되도록 구

성할 수 있습니다.

투명 모드 ASA에서는 CDP 패킷 또는 0x600 이상의 유효한 이더 타입이 없는 패킷은 전달하지 

않습니다. 예외적으로 BPDU 및 IS-IS는 지원됩니다.

투명 방화벽에서 직접 지원되지 않는 기능의 경우, 업스트림 및 다운스트림 라우터를 통해 트래픽

이 전달되도록 허용하여 해당 기능을 지원할 수 있습니다. 예를 들어, 확장 ACL을 사용하여 DHCP 

트래픽(지원되지 않는 DHCP 릴레이 기능 대신) 또는 IP/TV에서 생성된 멀티캐스트 트래픽을 허

용할 수 있습니다. 또한 투명 방화벽을 통해 라우팅 프로토콜 인접성을 설정할 수도 있습니다. 확

장 ACL을 기반으로 OSPF, RIP, EIGRP 또는 BGP 트래픽의 통과를 허용할 수 있습니다. 마찬가

지로, HSRP 또는 VRRP 같은 프로토콜이 ASA를 통과할 수 있습니다.