2022年多虚拟防火墙的流量分类 .pdf
( 4.5 )《2022年多虚拟防火墙的流量分类 .pdf》由会员分享,可在线阅读,更多相关《2022年多虚拟防火墙的流量分类 .pdf(4页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、当 CISCO的 ASA防火墙划分了多个虚拟防火墙的时候, 经过 ASA虚拟防火墙的数据包, 都必须经过分类,并发送到相应的虚拟防火墙, 进而转发到相应的目的地。ASA通过三种方式来区分各个虚拟防火墙的流量:唯一的物理接口。唯一的 MAC 地址。通过 NAT来决定数据包的走向。本文将对这三种方式的流量分类,做一个简单的介绍。唯一的物理接口:如果一个物理接口被单独的分配给某一个虚拟防火墙,那么 ASA将所有需要转发到这个虚拟防火墙的流量转发到该物理接口。在防火墙的传输模式下, 必须为虚拟防火墙分配一个单独的物理接口。所以在没有共享接口的情况下, 这种方法作为防火墙分类流量的方法。这种方法比较简单
2、,在这里就不做过多的介绍。唯一的 MAC 地址:由于 ASA的接口有限,所以在多虚拟防火墙的模式下, 我们会经常遇到一个接口同时分配给多个虚拟防火墙。 这个时候使用物理接口来对流量进行分类的办法将在这种情况下不再适用, 因为防火墙无法确定流量究竟应该转发到哪个虚拟防火墙。我们需要使用其他的方法来对流量的走向进行区分,通常我们会使用自动或者手动为这个分配给多个虚拟防火墙的共享接口指定不同的MAC 地址, 防火墙将使用 MAC 地址来区分流量的走向。如图1 所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
3、- - - - - 第 1 页,共 4 页 - - - - - - - - - 图 1 使用唯一的 MAC 地址区分流量我们从图中可以看到, 当流量进入属于多个虚拟防火墙的共享接口时,防火墙在检查目的 IP 地址的同时也检查MAC 地址,来决定数据包应该转发到哪一个虚拟防火墙下。 默认情况下, 共享接口没有被指定唯一的MAC 地址,每一个共享这个借口的虚拟防火墙都会使用该接口的物理MAC 地址作为这个接口的MAC地址,这时,防火墙对该数据包的路由将会出现问题。我们可以为该接口指定MAC 地址来解决这个问题。手动指定 MAC 地址:在每个虚拟防火墙的该共享接口下配置:mac-address HH
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年多虚拟防火墙的流量分类 2022 虚拟 防火墙 流量 分类
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
限制150内