Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

에는 외부 웹 서버에 액세스하는 내부 사용자의 경우가 나와 있습니다.

다음 단계에서는 데이터가 어떻게 ASA를 통과하여 이동하는지에 대해 설명합니다(

 

참조).

내부 네트워크의 사용자가 www.example.com

 

에서 웹 페이지를 요청합니다.

ASA

에서 패킷을 수신하며 필요한 경우 MAC 주소 테이블에 소스 MAC 주소를 추가합니다. 

이 패킷은 새 세션이므로 ASA에서는 보안 정책(액세스 목록, 필터, AAA)에 따라 해당 패킷을 

허용해도 되는지 확인합니다.
다중 상황 모드의 경우 ASA에서는 우선 고유한 인터페이스에 따라 패킷을 분류합니다.

ASA

에서는 실제 주소(10.1.2.27)를 매핑된 주소 209.165.201.10으로 변환합니다.

매핑된 주소는 외부 인터페이스와 같은 네트워크에 있지 않으므로, ASA를 가리키는 매핑된 

네트워크에 대한 고정 경로가 업스트림 라우터에 있어야 합니다.

그런 다음 ASA에서는 세션이 설정되었음을 기록하고 외부 인터페이스에서 패킷을 전달합니다.

대상 MAC 주소가 테이블에 있는 경우 ASA에서는 패킷을 외부 인터페이스에 전달합니다. 대

상 MAC 주소는 업스트림 라우터의 주소이며 10.1.2.1입니다.
대상 MAC 주소가 ASA 테이블에 없는 경우, ASA에서는 ARP 요청 및 ping을 전송하여 MAC 

주소를 찾으려고 합니다. 첫 번째 패킷은 드롭됩니다.

웹 서버에서 요청에 응답합니다. 세션이 이미 설정되어 있으므로 해당 패킷은 새 연결과 관련

된 여러 조회를 거치지 않고 우회합니다.

ASA

에서는 매핑된 주소를 실제 주소(10.1.2.27)로 변환하지 않고 NAT를 수행합니다.

Management IP
10.1.2.2

www.example.com

10.1.2.1

Host

10.1.2.27

Internet

Source Addr Translation

Static route on router

to 209.165.201.0/27 

through security appliance

191243

Security

appliance