我有一台 Cisco ASA 5510,其配置如下:
interface Ethernet0/0
description ### Trunk for inside, wlan ###
speed 1000
no nameif
no security-level
no ip address
interface Ethernet0/0.10
description ### OFFICE ###
vlan 10
nameif inside
security-level 100
ip address 172.18.0.1 255.255.255.0
interface Ethernet0/0.12
description ### WIRELESS ###
vlan 12
nameif wlan
security-level 20
ip address 172.18.2.1 255.255.255.128
interface Ethernet0/3
description ### Upstream ###
nameif outside
security-level 0
ip address X.X.X.X 255.255.255.252
access-group WLAN in interface wlan
global (outside) 10 interface
nat (wlan) 0 access-list NONATWIRELESS
nat (wlan) 10 172.18.2.0 255.255.255.128
nat (inside) 0 access-list NONATINSIDE
nat (inside) 10 172.18.0.0 255.255.255.0
dhcprelay server ZZZ inside
dhcprelay enable wlan
access-list WLAN extended permit object-group DNS object-group WLAN host nic
access-list WLAN extended permit object-group DNS object-group WLAN host idns
access-list NONATWIRELESS extended permit ip any 172.18.0.0 255.255.255.0
access-list NONATWIRELESS extended permit ip any 172.18.3.0 255.255.255.0
access-list NONATINSIDE extended permit ip any 172.18.2.0 255.255.255.0
access-list NONATINSIDE extended permit ip any 172.18.3.0 255.255.255.0
no nat-control
没有静态路由。
在此配置中,vlan 10 上的主机可以访问外部世界,但 vlan 12 上的主机则不能。它们会引发以下日志条目:
Jan 13 14:35:02 172.18.0.1 %ASA-4-106023: Deny tcp src wlan:172.18.2.125/48593 dst outside:Y.Y.Y.Y/80 by access-group "WLAN" [0x0, 0x0]
怎么会?
编辑:我想这是因为 wlan 上有访问列表,但内部没有,但这看起来很愚蠢?如果访问列表中没有匹配的条目,是否仍应评估安全级别?
答案1
嗯,可能是因为您已将访问组 WLAN 应用于进入 WLAN 接口的流量,而该访问组不允许流量流向 Web 服务器。
错误信息非常清楚,问题出在访问组 WLAN 上,并且访问列表非常严格。
编辑回应您的评论:据我所知,没有,因为 PIXOS 中的所有访问列表都是决定性的(也就是说,所有访问列表deny any any最后都有一个隐含的) - 所以不存在不匹配的访问列表。