所以我買了一個 Cisco ASA,我試著讓 2 個介面相互充分通訊。另一位了解更多的技術人員表示,要實現這一點,我需要安全增強許可證,而我的 ASA 有基本許可證。這一定是真的嗎?我還遇到從互聯網到 ASA 連接 SSH 的問題,這是否也屬於我目前的許可證?查看有關我的 ASA 的 cisco 文檔,內容並不豐富,更多的是快速概述。
非常感謝幫忙!
更新
當前 ASA 配置 http://pastebin.com/WSz8wNNv
答案1
預設情況下,ASA 不允許該安全等級的流量進入相同安全等級的另一個介面。這是你的首要問題。 same-security-traffic permit intra-interface
需要命令。
用法: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
ALLOW_WIRED
和ACLALLOW_WIRELESS
已定義,但未套用於任何介面。此外,我建議將 ACL 從標準 ACL 變更為擴充 ACL。擴展 ACL 允許透過來源和目的地(而不僅僅是流量來源)來控制流量。
建議更改: (2017/02/17 更新:根據要求更新 ACL 以允許不受限制的出站存取)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
請注意,雖然每個 ACL 中的第一條規則是多餘的,但添加它是為了提供有關如何使用該規則的一些附加上下文。
測試: 所有輸出應為“Up”。
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2