CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

packet processing in ASA ?

https://ccie.pl/viewtopic.php?f=44&t=17516

Strona 1 z 1

packet processing in ASA ?

: 17 gru 2012, 20:35
autor: luki
Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.

Re: packet processing in ASA ?

: 18 gru 2012, 18:01
autor: deletek
luki pisze:Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.
Jeżeli połączenie istnieje idziemy do inspekcji i w obu diagramach tak jest (przynajmniej ja nie zauważyłem różnicy).

Re: packet processing in ASA ?

: 18 gru 2012, 19:38
autor: luki
deletek pisze:
luki pisze:Witam,

W jaki sposób przetwarzany jest pakiet przez ASA? Znalazłem 2 diagramy w sieci:
1) http://ccie-or-null.net/2011/11/15/pack ... cisco-asa/
2) http://www.cisco.com/en/US/products/ps6 ... 9d00.shtml

tylko, że diagramy te wykluczają się. Według pierwszego jeżeli przychodzący pakiet należy do istniejącej sesji w tabeli connection tablica routingu nie jest sprawdzana natomiast wg 2 tylko proces sprawdzania ACL i NAT jest pomijany.
Jeżeli połączenie istnieje idziemy do inspekcji i w obu diagramach tak jest (przynajmniej ja nie zauważyłem różnicy).
tylko w jednym sprawdzane jest L3 a w drugim nie

: 18 gru 2012, 20:32
autor: krisiasty
Sugeruję wejść sobie na CiscoLive365, odszukać sesję BRKSEC-3020 (Troubleshooting Firewalls), a następnie pobrać i obejrzeć prezentację.
Bardzo dużo miejsca poświęcono właśnie tematom związanym z packet flow w ASA-ach i modułach serwisowych uwzględniając szereg zmian które wprowadzono w poszczególnych wersjach softu. To powinno wyjaśnić wszystkie wasze wątpliwości.

: 08 sty 2013, 14:58
autor: czarli
W najwiekszym skrocie wszystko zalezy od wersji kodu.

Glowna roznica:

W ASA do wersji 8.2 ACL jest sprawdzana przed NAT-em.
Natomiast w wersji 8.3 i pozniejszej bedzie robic NAT a potem sprawdzac ACL.



--------
www.itlibrary.net
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl