Securing Networks with PIX and ASA

ABSTRACT

VLANs: This topic explains the VLAN capabilities of Cisco security appliances. With Cisco PIX Security Appliance Software v6.3 and higher and Cisco PIX and ASA Security Appliance Software v7.0 and higher, the administrator can assign VLANs to physical interfaces on the security appliance or configure multiple logical interfaces on a single physical interface and assign each logical interface to a specific VLAN. A VLAN connects devices on one or more physical LAN segments so that the VLAN can act as though it is attached to the same physical LAN. VLANs make this connection based on logical (software) connections instead of physical connections, which makes them extremely flexible because you can configure and reconfigure which segments belong to which VLAN entirely through software. Cisco PIX Series 500 Security Appliances (except for the 501, 506, and 506E) and Cisco ASA 5500 Series Adaptive Security Appliances support only 802.1q VLANs. Specifically, they support multiple 802.1q VLANs on a physical interface and the ability to receive and send 802.1q-tagged packets. VLANs are not supported on the Cisco PIX 501, 506, and 506E Security Appliances. Cisco security appliances do not currently support executable commands for LAN trunks (the physical and logical connection between two switches) because the security appliances do not negotiate or participate in any bridging protocols. The security appliances display the VLANs only on the LAN trunk. It considers the state of the LAN trunk to be the same as the state of the physical interface. If the link is up on the physical Ethernet, then the security appliance considers the trunk as up as soon as a VLAN has been assigned or configured for it. Additionally, the VLAN is active as soon as you assign or configure a VLAN identifier (ID) on the physical Ethernet interface of the security appliance.

INTRODUCTION

Physical interfaces are one per network interface card (NIC), in place at boot time, and not removable. Logical interfaces can be many-to-one for each NIC, are created at runtime, and can be removed through software reconfiguration. For VLANs to be supported, a minimum of two physical interfaces is required for all security appliance platforms. To create a logical subinterface, use the subinterface argument of the interface command in global configuration mode. To remove a subinterface, use the no form of this command; you cannot remove a physical interface. In subinterface configuration mode, you can assign a name, assign a VLAN, assign an IP address, and configure many other settings. Use the vlan id command in subinterface configuration mode to assign a VLAN ID to a subinterface.

چکیده

VLAN ها: این موضوع قابلیت های VLAN تجهیزات امنیتی سیسکو را توضیح می دهد. با استفاده از سیسکو PIX Security Appliance Software v6.3 و بالاتر و سیسکو PIX و ASA Security Appliance Software v7.0 و بالاتر، مدیر می تواند VLAN ها را به اینترفیس های فیزیکی در دستگاه امنیتی یا پیکربندی چندین منطقی در یک رابط فیزیکی منصوب کند و هر یک را رابط منطقی به یک VLAN خاص. یک VLAN دستگاه ها را در یک یا چند بخش شبکه فیزیکی متصل می کند تا VLAN بتواند مانند یک شبکه فیزیکی متصل شود. VLAN ها این ارتباط را به جای اتصالات فیزیکی براساس اتصالات منطقی (نرم افزاری) ایجاد می کنند که این امر آنها را بسیار انعطاف پذیر می کند زیرا شما می توانید پیکربندی و پیکربندی کنید که کدام بخش ها به طور کامل از طریق نرم افزار متعلق به آن VLAN باشند. سیسکو PIX سری 500 لوازم جانبی امنیتی (به جز برای 501، 506، و 506E) و سیسکو ASA 5500 سری لوازم جانبی Adaptive Security تنها 802.1q VLAN پشتیبانی می کند. به طور خاص، آنها از چندین VLAN 802.1q در یک رابط فیزیکی پشتیبانی می کنند و توانایی دریافت و ارسال بسته های 802.1q tagged شده را دارند. VLAN ها در دستگاه های امنیتی PIX 501، 506 و 506E سیسکو پشتیبانی نمی شوند. لوازم امنیتی سیسکو در حال حاضر از دستورالعمل های اجرایی برای ترمینال های LAN پشتیبانی نمی کند (اتصال فیزیکی و منطقی بین دو سوئیچ)، زیرا تجهیزات امنیتی در پروتکل های پیاده سازی مذاکره نمی کنند و یا در آنها شرکت نمی کنند. تجهیزات امنیتی VLAN ها را فقط در ترمینال LAN نمایش می دهند. این حالت حالت تنه LAN را همانند وضعیت رابط فیزیکی بررسی می کند. اگر لینک در اترنت فیزیکی باشد، پس دستگاه امنیتی، تنه را به محض اینکه VLAN برای آن تعیین شده یا پیکربندی شده، در نظر گرفته باشد. علاوه بر این، VLAN فعال است به محض اینکه شما اختصاص یا شناسایی VLAN (ID) در رابط اترنت فیزیکی دستگاه امنیتی را اختصاص دهید یا پیکربندی کنید.

مقدمه

رابط های فیزیکی یک کارت رابط در هر کارت شبکه (NIC) است، در زمان بوت شدن، و قابل جابجایی نیست. رابط های منطقی می توانند برای هر یک از NIC های چند منظوره باشند، در زمان اجرا ایجاد می شوند و می توانند از طریق تنظیم مجدد نرم افزار حذف شوند. برای پشتیبانی از VLAN ها، حداقل دو رابط فیزیکی برای تمام پلتفرم های امنیتی نرم افزار مورد نیاز است. برای ایجاد یک زیرمجموعه منطقی، از استدلال زیربندی دستور فرمان در حالت پیکربندی جهانی استفاده کنید. برای حذف یک زیرمجموعه، هیچ فرم از این فرمان را استفاده نکنید؛ شما نمی توانید یک رابط فیزیکی را حذف کنید در حالت پیکربندی subinterface، می توانید یک نام اختصاص دهید، یک VLAN را اختصاص دهید، یک آدرس IP اختصاص دهید، و بسیاری از تنظیمات دیگر را تنظیم کنید. از دستور vlan id در حالت پیکربندی subinterface استفاده کنید تا یک شناسه VLAN را به یک زیر اینترکشن اختصاص دهید.

Year: 2006

Publisher: Cisco

Source : Cisco.comWebsiteatwww.cisco.com/go/offices