그래서 저는 Cisco ASA를 구입했고 서로 완벽하게 통신하기 위해 2개의 인터페이스를 얻으려고 노력하고 있습니다. 여기 직장에서 더 많은 것을 알고 있는 또 다른 기술자는 이를 위해서는 보안 플러스 라이선스가 필요하고 ASA에는 기본 라이선스가 있다고 말했습니다. 이것이 반드시 사실일까요? 또한 인터넷에서 ASA로 SSH에 연결하는 데 문제가 있습니다. 이 문제도 현재 라이선스에 적용될 수 있습니까? 내 ASA에 대한 Cisco 문서를 보면 빠른 개요에 대한 정보가 그다지 유익하지 않습니다.
많은 도움을 주셔서 감사합니다!
업데이트
현재 ASA 구성 http://pastebin.com/WSz8wNNv
답변1
기본적으로 ASA는 보안 수준의 트래픽이 동일한 보안 수준의 다른 인터페이스로 들어가는 것을 허용하지 않습니다. 이것이 당신의 주요 문제입니다. same-security-traffic permit intra-interface명령이 필요합니다.
용법: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
및 ACL ALLOW_WIRED이 ALLOW_WIRELESS정의되어 있지만 인터페이스에는 적용되지 않습니다. 또한 ACL을 표준 ACL에서 확장 ACL로 변경하는 것이 좋습니다. 확장 ACL을 사용하면 트래픽 소스뿐 아니라 소스와 대상을 통해 트래픽을 제어할 수 있습니다.
권장 변경 사항: (2017/02/17 업데이트: 요청에 따라 무제한 아웃바운드 액세스를 허용하도록 ACL 업데이트)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
각 ACL의 첫 번째 규칙은 불필요하지만 규칙이 사용되는 방식에 대한 추가 컨텍스트를 제공하기 위해 추가되었습니다.
테스트: 모든 출력은 "Up"이어야 합니다.
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2