По умолчанию ASA не позволяют трафику уровня безопасности входить в другой интерфейс того же уровня безопасности. Это ваша основная проблема. Требуется внутриинтерфейсная команда same-security-traffic permit intra-interface
.
Использование:https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
Списки ACL ALLOW_WIRED
и ALLOW_WIRELESS
определены, но не применяются ни к каким интерфейсам. Кроме того, я рекомендую изменить ACL со стандартных ACL на расширенные ACL. Расширенные ACL-списки позволяют контролировать трафик посредством источника и пункта назначения, а не просто источника трафика.
Рекомендуемые изменения: (Обновлено 2017/02/17: обновление списков ACL для обеспечения неограниченного исходящего доступа согласно запросу)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
Обратите внимание, что хотя первое правило в каждом ACL является излишним, оно было добавлено, чтобы дать некоторый дополнительный контекст относительно того, как используется правило.
Тестирование: весь вывод должен привести к "Up".
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2