packet processing in ASA ?

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
luki
fresh
fresh
Posty: 7
Rejestracja: 16 mar 2009, 16:22

packet processing in ASA ?

#1

#1 Post autor: luki »

Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.

deletek
wannabe
wannabe
Posty: 67
Rejestracja: 20 sty 2012, 18:01

Re: packet processing in ASA ?

#2

#2 Post autor: deletek »

luki pisze:Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.
Jeżeli połączenie istnieje idziemy do inspekcji i w obu diagramach tak jest (przynajmniej ja nie zauważyłem różnicy).

luki
fresh
fresh
Posty: 7
Rejestracja: 16 mar 2009, 16:22

Re: packet processing in ASA ?

#3

#3 Post autor: luki »

deletek pisze:
luki pisze:Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.
Jeżeli połączenie istnieje idziemy do inspekcji i w obu diagramach tak jest (przynajmniej ja nie zauważyłem różnicy).
tylko w jednym sprawdzane jest L3 a w drugim nie
Ostatnio zmieniony 18 gru 2012, 22:37 przez luki, łącznie zmieniany 2 razy.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#4

#4 Post autor: krisiasty »

Sugeruję wejść sobie na CiscoLive365, odszukać sesję BRKSEC-3020 (Troubleshooting Firewalls), a następnie pobrać i obejrzeć prezentację.
Bardzo dużo miejsca poświęcono właśnie tematom związanym z packet flow w ASA-ach i modułach serwisowych uwzględniając szereg zmian które wprowadzono w poszczególnych wersjach softu. To powinno wyjaśnić wszystkie wasze wątpliwości.

czarli
member
member
Posty: 16
Rejestracja: 12 sty 2011, 12:18
Kontakt:

#5

#5 Post autor: czarli »

W najwiekszym skrocie wszystko zalezy od wersji kodu.

Glowna roznica:

W ASA do wersji 8.2 ACL jest sprawdzana przed NAT-em.
Natomiast w wersji 8.3 i pozniejszej bedzie robic NAT a potem sprawdzac ACL.



--------
www.itlibrary.net

ODPOWIEDZ