そこで、Cisco ASA を購入し、2 つのインターフェイスが相互に完全に通信できるようにしようとしています。職場で詳しい別の技術者によると、これを実現するには、セキュリティ プラス ライセンスが必要で、ASA には基本ライセンスがあるそうです。これは必ずしも本当でしょうか? また、インターネットから ASA に SSH で接続する際にも問題が発生していますが、これも現在のライセンスの問題でしょうか? ASA に関する Cisco のドキュメントを見ると、それほど情報量が多くなく、簡単な概要に過ぎません。
ご協力いただければ幸いです。
アップデート
現在の ASA 構成 http://pastebin.com/WSz8wNNv
答え1
デフォルトでは、ASA は、セキュリティ レベルのトラフィックが同じセキュリティ レベルの別のインターフェイスに入ることを許可しません。これが主な問題です。 same-security-traffic permit intra-interfaceコマンドが必要です。
使用法: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
ACLALLOW_WIREDとALLOW_WIRELESSACL は定義されていますが、どのインターフェイスにも適用されていません。また、ACL を標準 ACL から拡張 ACL に変更することをお勧めします。拡張 ACL を使用すると、トラフィックの送信元だけでなく、送信元と送信先によってトラフィックを制御できます。
推奨される変更: (2017/02/17 更新: リクエストに応じて、ACL を更新して無制限のアウトバウンド アクセスを許可します)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
各 ACL の最初のルールは不要ですが、ルールの使用方法に関する追加のコンテキストを提供するために追加されたことに注意してください。
テスト: すべての出力は「Up」になるはずです。
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2