728x90
반응형
Cisco asa 5505 의 경우 SOHO 용으로 나와서 L2스위치 기능까지 가지고 있었죠.
그런데, 후속 모델이라고 내놓은 5506-X 에서 Switchport 기능을 지원하지 않아 많은 사람들이 적잖이 실망을 했나 봅니다.
그래서 Cisco 에서는 ASA OS 9.7(1) 부터 Bridge-Group 이라는 명령을 통해 해당 기능을 구현했네요.
일반적으로 ASA 장비에서 내부 Network 연결을 위해 inside Network 를 여러 물리적 포트에 적용하기 위한 방법이구요.
출처는 아래 URL 의 Release Note 를 참고하시면 됩니다.
CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.7 - Routed and Transparent Mode Interfaces [Cisco AS
Routed and Transparent Mode Interfaces
www.cisco.com
해당 URL 의 하단 부분으로 내려보시면 아래와 같이 예제 Config 를 확인 할 수 있습니다.
interface gigabitethernet 1/1
nameif outside
security-level 0
ip address dhcp setroute
no shutdown
!
interface gigabitethernet 1/2
nameif inside1
security-level 100
bridge-group 1
no shutdown
interface gigabitethernet 1/3
nameif inside2
security-level 100
bridge-group 1
no shutdown
interface gigabitethernet 1/4
nameif inside3
security-level 100
bridge-group 1
no shutdown
!
interface bvi 1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface gigabitethernet 1/5
nameif dmz1
security-level 100
bridge-group 2
no shutdown
interface gigabitethernet 1/6
nameif dmz2
security-level 100
bridge-group 2
no shutdown
interface gigabitethernet 1/7
nameif dmz3
security-level 100
bridge-group 2
no shutdown
!
interface bvi 2
nameif dmz
security-level 50
ip address 209.165.201.1 255.255.255.224
!
same-security-traffic permit inter-interface
!
# Assigns IP addresses to inside hosts
dhcpd address 10.10.10.2-10.10.10.200 inside
dhcpd enable inside
!
# Applies interface PAT for inside traffic going outside
nat (inside1,outside) source dynamic any interface
nat (inside2,outside) source dynamic any interface
nat (inside3,outside) source dynamic any interface
!
# Allows outside traffic to each server for specific applications
object network server1
host 209.165.201.2
object network server2
host 209.165.201.3
object network server3
host 209.165.201.4
!
# Defines mail services allowed on server3
object-group service MAIL
service-object tcp destination eq pop3
service-object tcp destination eq imap4
service-object tcp destination eq smtp
!
# Allows access from outside to servers on the DMZ
access-list SERVERS extended permit tcp any object server1 eq www
access-list SERVERS extended permit tcp any object server2 eq ftp
access-list SERVERS extended permit tcp any object server3 object-group MAIL
access-group SERVERS in interface outside
728x90
반응형
'IT 이야기 > 방화벽(VPN)' 카테고리의 다른 글
| [FORTINET] How to count the total number of fortigate firewall policies _ 방화벽 정책 수량 확인 (0) | 2020.03.19 |
|---|---|
| [FORTINET] Fortigate Console terminal length 0 (0) | 2020.03.18 |
| [Fortinet] Fortigate Allow Unnamed Policies_포티게이트 방화벽에서 Name 입력하지 않고 정책 생성하는 방법 (0) | 2020.03.05 |
| [FORTINET] FortiAnalyzer 를 통한 Traffic 분석 (0) | 2020.02.06 |
| Cisco Router VPN(L2L) Configuration (0) | 2015.10.30 |
| Cisco ASA ASDM 실행 안될 때.. (0) | 2015.09.03 |
| Juniper SRX240 VPN Configuration Example (0) | 2015.03.03 |
| Cisco ASA 5512 Config 예제 (0) | 2015.03.03 |
