Таким образом, я купил Cisco ASA, и я пытаюсь получить 2 интерфейса, чтобы полностью общаться друг с другом. Другой технический специалист, который знает больше, говорит, что для этого мне нужна лицензия «плюс безопасность», и у моего ASA есть базовая лицензия. Это обязательно правда? У меня также возникают проблемы с подключением к SSH из Интернета к моему ASA, может ли это также находиться под моей текущей лицензией? Глядя на документацию cisco о моем ASA, он не настолько информативен, как краткий обзор.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

Большая помощь приветствуется!

ОБНОВИТЬ

Текущая конфигурация ASA http://pastebin.com/WSz8wNNv

1 ответ1

1

По умолчанию ASA не позволяют трафику уровня безопасности входить в другой интерфейс того же уровня безопасности. Это ваша основная проблема. Требуется внутриинтерфейсная команда same-security-traffic permit intra-interface .

Использование:https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

Списки ACL ALLOW_WIRED и ALLOW_WIRELESS определены, но не применяются ни к каким интерфейсам. Кроме того, я рекомендую изменить ACL со стандартных ACL на расширенные ACL. Расширенные ACL-списки позволяют контролировать трафик посредством источника и пункта назначения, а не просто источника трафика.

Рекомендуемые изменения: (Обновлено 2017/02/17: обновление списков ACL для обеспечения неограниченного исходящего доступа согласно запросу)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Обратите внимание, что хотя первое правило в каждом ACL является излишним, оно было добавлено, чтобы дать некоторый дополнительный контекст относительно того, как используется правило.

Тестирование: весь вывод должен привести к "Up".

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .