所以我买了一个 Cisco ASA,并试图让两个接口完全相互通信。这里另一位了解情况的技术人员说,要做到这一点,我需要一个 Security Plus 许可证,而我的 ASA 有一个基本许可证。这一定是真的吗?我也遇到了从互联网到我的 ASA 的 SSH 连接问题,这是否也适用于我当前的许可证?查看了思科关于我的 ASA 的文档,它并没有提供太多信息,更像是一个快速概述。
非常感谢您的帮助!
更新
当前 ASA 配置 http://pastebin.com/WSz8wNNv
答案1
默认情况下,ASA 不允许安全级别的流量进入同一安全级别的另一个接口。这是您的主要问题。 same-security-traffic permit intra-interface
需要命令。
用法: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html
ALLOW_WIRED
和ACLALLOW_WIRELESS
已定义但未应用于任何接口。此外,我建议将 ACL 从标准 ACL 更改为扩展 ACL。扩展 ACL 允许通过源和目标(而不仅仅是流量源)来控制流量。
建议的变更: (更新于 2017/02/17:根据要求,更新 ACL 以允许不受限制的出站访问)
no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224
same-security-traffic permit intra-interface
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***
access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless
请注意,虽然每个 ACL 中的第一个规则是多余的,但它被添加以提供一些有关如何使用规则的额外背景信息。
测试: 所有输出都应为“Up”。
packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2