10.2 思科ASA：透明模式的流量通信过程（访问规则与防火墙的工作模式无关）

10.2  思科ASA：透明模式的流量通信过程（访问规则与防火墙的工作模式无关）

为了成功建立连接，CiscoASA会执行以下步骤：

（1）ARP解析：由于Cisco网站与主机A的网络位于不同的网络中，主机A需要通过地址解析协议ARP来判断默认网关的地址192.168.10.1。对于ASA的ARP进程，有四种可能的情况：

情况1：主机A及ASA没有网关的MAC地址

为了进行ARP解析，主机A发送一个ARP广播请求，ASA在收到广播之后，会执行两个操作步骤：

1、ASA会产生一个2层转发L2F表，表中包含主机的源MAC地址及源接口（inside）信息；

2、ASA将广播ARP数据包转发给外部接口。

 默认网关基于收到的ARP请求消息来请求单播ARP响应数据包，安装设备还是会执行两个操作：

 1、ASA将默认网关路由器的MAC地址，以及默认网关所在的接口的信息放入L2F表；

 2、ASA将响应数据包转发给主机A。

 情况2：主机A有网关的MAC地址、但ASA没有

如果出于某种原因，CiscoASA没有学到默认网关的MAC地址（比如由于地址过期，或者有人将其手动删除掉了），它会执行学习目的MAC地址的进程。因此，当主机A向其默认网关发送一个数据包时，ASA会丢弃该数据包并创建一个ICMP Echo请求数据包并将TTL（生存时间）设置为1。安全设备会丢掉主机A发来的原始数据包，因为它不知道目的主机所在的桥组位于哪个接口。在ICMP Echo请求消息中，从主机A发来的数据包中学到的目的MAC地址才会被发送到哪个接口。ICMP数据包的目的IP地址也就是主机A发送的原数据包3层目的地址。源3层地址现在就是分配给桥组BVI的IP地址。安全设备会从桥组中的所有接口将数据包发送出去（除了数据包进入这台设备的接口之外）。由于数据包的TTL值为1，因些当下一跳路由器收到ICMP数据包时，它就会将数据包的TTL值减为0，并向ASA BVI地址发送一条ICMP TTL超时消息。下一个发往相同目的MAC地址的数据包就可以如期得到转发了。

情况3：主机A没有网关的MAC地址，但ASA有

当主机A需要解析网关的MAC地址时，它就会发慈禧太后一个ARP广播数据包。CiscoASA在这里采取的方式与情况1类似。如果Cisco ASA学到的信息和L2F标中原有的信息存在差异，那么ASA就会根据新的信息对L2F表进行更新。

情况4：主机A和ASA解析默认网关的MAC地址

如果两台设备都了解默认网关的MAC地址，它们就既不需要更新ARP也不需要更新L2F表。在这种情况下，它们都不无可奈何进行任何地址解析。

注释：对于非IP流量（如IPX数据包）而言，就没有通过ARP或者ICMP来解析目的MAC地址的概念了。在这种情况下，当ASA收到一个非IP数据包，并且涮有在其L2F表中找到相应条目的情况下，ASA就会丢弃该数据包并且不参与到该解析进程中。

（2）ACL匹配：一旦主机A了解到其默认网关的MAC地址之后，它就会向web服务器发送一条SYN数据包，以启动三次握手的进程。当数据包进入安全设备的内部接口时，设备就会根据uauth(用户认证）和入站ACL(2层或3层）来检查该数据包。如果数据包可以进入，那么它就会被转发给桥接引擎，在这里，设备会根据L2F表来判断正确的出站接口（在本例中即为外部接口）。然后设备会根据出站接口ACL来核对该数据包。如果允许，那么设备就会应用监控规则；执行TCP核对；并创建连接条目。

（3）出站数据包传输：在数据包被桥接给外部接口之后，它就会被转发给接口驱动器以进行传输。

（4）Web服务器会用SYN-ACK消息进行响应，ASA会允许数据包通过，因为该连接已经被创建出来了。

（5）数据包被桥接给主机A, 两台设备（主机A和WEB服务器）完成TCP三次握手的进程，并开始传输数据。

如上流程所述，设备在应用安全策略时不会考虑防火墙的模式。

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html