Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
3-6
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
访问控制准则
•
Trunk 端口(思科专有)BPDU。Trunk BPDU 在负载内拥有 VLAN 信息,因此,如果允许
BPDU,则 ASA 将使用出站 VLAN 修改负载。
BPDU,则 ASA 将使用出站 VLAN 修改负载。
•
中间系统至中间系统 (IS-IS)。
以下类型的流量不受支持:
•
802.3 格式化帧 - 规则将不处理这些帧,因为它们使用长度字段而不是类型字段。
返回流量的以太网类型规则
因为以太网类型是无连接的,所以,如果想要在两个方向上允许流量通过,则需要在两个接口上
应用规则。
应用规则。
允许 MPLS
如果允许 MPLS,请将连接至 ASA 的两个 MPLS 路由器配置为将 ASA 接口上的 IP 地址用作 LDP
或 TDP 会话的路由器 ID,从而确保标签分发协议和标记分发协议 TCP 连接通过 ASA 建立。
(LDP 和 TDP 允许 MPLS 路由器协商用于转发数据包的标签(地址)。)
或 TDP 会话的路由器 ID,从而确保标签分发协议和标记分发协议 TCP 连接通过 ASA 建立。
(LDP 和 TDP 允许 MPLS 路由器协商用于转发数据包的标签(地址)。)
在 Cisco IOS 路由器上,输入适合您的协议 LDP 或 TDP 的命令。interface 为连接至 ASA 的接口。
hostname(config)# mpls ldp router-id interface force
或
hostname(config)# tag-switching tdp router-id interface force
访问控制准则
IPv6 准则
支持 IPv6。源和目标地址可能包括 IPv4 和 IPv6 地址的任意混合。
每用户 ACL 准则
•
每用户 ACL 使用 timeout uauth 命令中的值,但该值可由 AAA 每用户会话超时值覆盖。
•
如果由于每用户 ACL 而拒绝流量,则将记录系统日志消息 109025。如果允许流量,则将不
生成系统日志消息。每用户 ACL 中的 log 选项将不产生影响。
生成系统日志消息。每用户 ACL 中的 log 选项将不产生影响。
附加准则和限制
•
通过启用对象组搜索,可减少搜索访问规则所需的内存,但这将以降低规则查找性能为代
价。已启用的对象组搜索将不展开网络对象,而是根据这些组定义搜索匹配的访问规则。可
使用 object-group-search access-control 命令设置此选项。
价。已启用的对象组搜索将不展开网络对象,而是根据这些组定义搜索匹配的访问规则。可
使用 object-group-search access-control 命令设置此选项。
•
可使用访问组的事务提交模型,从而提高系统性能和可靠性。请参阅常规操作配置指南中的基
本设置章节,了解详细信息。可使用 asp rule-engine transactional-commit access-group 命令。
本设置章节,了解详细信息。可使用 asp rule-engine transactional-commit access-group 命令。
•
在 ASDM 中,规则描述基于出现在 ACL 中规则之前的访问列表注释,对于在 ASDM 中创建
的新规则,任何描述均将配置为相关规则之前的注释。然而,ASDM 中的数据包跟踪器匹配
在 CLI 中在匹配规则之后配置的注释。
的新规则,任何描述均将配置为相关规则之前的注释。然而,ASDM 中的数据包跟踪器匹配
在 CLI 中在匹配规则之后配置的注释。