Introdução

    Este documento descreve como distribuir um ASA transparente em um FP9300. À revelia quando um ASA é distribuído dentro de um FP9300 o modo de firewall não é roteador, lá é nenhuma opção para selecionar o modo transparente porque nós o temos para o molde FTD.

    Um Firewall transparente, por outro lado, é um Firewall da camada 2 que atue como um “Bump In The Wire”, ou um “firewall furtivo”, e não é visto como um salto do roteador aos dispositivos conectados. Contudo, como todo o outro Firewall, o controle de acesso entre relações é controlado, e todas as verificações usuais do Firewall são no lugar.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Modo transparente ASA

    • Arquitetura FP9300

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Quando distribuir um ASA lá não for nenhuma opção para selecionar o modo de firewall porque é quando FTD de distribuição:

    213282-deploy-asa-in-transparent-mode-within-a-00.png

    Uma vez que o ASA foi distribuído, preconfigured no modo roteado:

    asa# show firewall
    Firewall mode: Router

    asa# show mode
    Security context mode: single

    Porque não há nenhuma opção para configurar o modo de firewall do gerente do chassi, precisa de ser feito do ASA CLI:

    asa(config)# firewall transparent

    asa(config)# show firewall
    Firewall mode: Transparent

    asa(config)# wr mem
    Building configuration...
    Cryptochecksum: 746a107e aa0959e6 0f374a5f a004e35e
    2070 bytes copied in 0.70 secs
    [OK]

    Depois que a configuração salvar, um reload está precisado como está feito com um dispositivo ASA mesmo quando o modo transparente já setup no dispositivo. Uma vez que o dispositivo carreg acima, o dispositivo já setup no modo transparente e toda a configuração foi cancelada como esperado, mas no gerente do chassi a configuração original que foi distribuída ainda aparece:

    asa# show firewall
    Firewall mode: Transparent

    asa# show version | in up
    Config file at boot was "startup-config"
    asa up 1 min 30 secs

    No gerente do chassi, pode-se validar que a configuração da porta de gerenciamento esteve removida igualmente:

    213282-deploy-asa-in-transparent-mode-within-a-01.png

    Desmover precisa de ser executado na configuração da interface de gerenciamento e na configuração de grânulos, se se aplica, do gerente do chassi ao dispositivo como nós fizemos no início do desenvolvimento. O gerente do chassi redescobre o dispositivo; no primeiro 5 cronometra-o é visto o estado do dispositivo como da “o módulo Segurança que não responde” segundo as indicações da imagem:

    213282-deploy-asa-in-transparent-mode-within-a-02.png

    Após um par minutos, o dispositivo é reiniciado:

    213282-deploy-asa-in-transparent-mode-within-a-03.png

    Verificar

    Uma vez que o ASA é para trás em linha, pode-se confirmar que o dispositivo é no modo transparente e com um endereço IP de gerenciamento com este comando do CLI:

    asa# show firewall
    Firewall mode: Transparent

    asa# show ip
    Management-only Interface: Ethernet1/1
    System IP Address:
     ip address 10.1.1.3 255.255.255.0
    Current IP Address:
     ip address 10.1.1.3 255.255.255.0


    asa# show nameif
    Interface       Name           Security
    Ethernet1/1     management       0

    A característica para ter a capacidade de selecionar um modo de firewall quando um ASA for distribuído do gerente do chassi foi pedida com os defeitos CSCvc13164CSCvd91791.