Cisco ASA 5505 许可证,“真正的”接口连接

Cisco ASA 5505 许可证,“真正的”接口连接

所以我买了一个 Cisco ASA,并试图让两个接口完全相互通信。这里另一位了解情况的技术人员说,要做到这一点,我需要一个 Security Plus 许可证,而我的 ASA 有一个基本许可证。这一定是真的吗?我也遇到了从互联网到我的 ASA 的 SSH 连接问题,这是否也适用于我当前的许可证?查看了思科关于我的 ASA 的文档,它并没有提供太多信息,更像是一个快速概述。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

非常感谢您的帮助!

更新

当前 ASA 配置 http://pastebin.com/WSz8wNNv

答案1

默认情况下,ASA 不允许安全级别的流量进入同一安全级别的另一个接口。这是您的主要问题。 same-security-traffic permit intra-interface需要命令。

用法: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

ALLOW_WIRED和ACLALLOW_WIRELESS已定义但未应用于任何接口。此外,我建议将 ACL 从标准 ACL 更改为扩展 ACL。扩展 ACL 允许通过源和目标(而不仅仅是流量源)来控制流量。

建议的变更: (更新于 2017/02/17:根据要求,更新 ACL 以允许不受限制的出站访问)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

请注意,虽然每个 ACL 中的第一个规则是多余的,但它被添加以提供一些有关如何使用规则的额外背景信息。

测试: 所有输出都应为“Up”。

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2

相关内容