我有一台运行 8.4 的 ASA 5505,具有多个内部网络:
- 内部:10.1.0.0/16
- 制造商:10.2.0.0/16
- 运营商:10.6.0.0/24
我希望内部网络和制造商网络能够完全访问彼此,并且内部网络应该能够完全访问外部网络。我希望内部网络和制造商网络能够完全访问运营商网络,但我只希望运营商网络能够通过指定端口访问指定的制造商主机,而不能访问外部网络。使用我的配置流量在内部网络和制造商网络之间以及内部网络和外部网络之间流动,无法使受限制的运营商到制造商网络正常工作。
我尝试向 mfg 网络添加一个“in”访问列表,以允许从运营商网络进行端口访问(接口 mfg 中的访问组 acl_mfg_in),但似乎无法正常工作。看起来它正在将 ACL 应用于物理接口而不是 mfg vlan 接口,对吗?我该如何实现我想要的?
哦,我有 Security Plus 许可证。
: Saved
: Written by enable_15 at 12:15:13.442 PDT Tue Mar 19 2013
!
ASA Version 8.4(4)1
!
!
interface Ethernet0/0
switchport access vlan 201
!
interface Ethernet0/1
switchport trunk allowed vlan 1,20,60,70,201
switchport trunk native vlan 1
switchport mode trunk
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.0.0
!
interface Vlan20
nameif mfg
security-level 100
ip address 10.2.0.1 255.255.0.0
!
interface Vlan60
nameif operator
security-level 20
ip address 10.6.0.1 255.255.255.0
!
interface Vlan201
nameif outside
security-level 0
ip address A.B.C.D
!
boot system disk0:/asa844-1-k8.bin
ftp mode passive
clock timezone PDT -7
dns server-group DefaultDNS
domain-name example.com
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network subnet_inside
subnet 10.1.0.0 255.255.0.0
object network subnet_mfg
subnet 10.2.0.0 255.255.0.0
object network subnet_operator
subnet 10.6.0.0 255.255.255.0
object network host_mfg_cdc1
host 10.2.0.12
object-group service ports_active_directory
service-object icmp echo
service-object icmp echo-reply
service-object tcp destination eq 135
service-object tcp destination range 1025 1026
service-object tcp destination eq ldap
service-object tcp-udp destination eq domain
service-object tcp destination eq 445
service-object tcp destination eq netbios-ssn
service-object udp destination range netbios-ns netbios-dgm
service-object udp destination eq 389
service-object tcp-udp destination eq 88
service-object udp destination eq ntp
object-group service ports_dns
service-object tcp-udp destination eq domain
access-list acl_mfg_in extended permit object-group ports_active_directory object subnet_operator object host_mfg_cdc1 log
nat (inside,outside) source dynamic any interface
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
答案1
一般来说有两种不同的方法:
您可以依赖 Cisco ASA安全级别每个 VLAN 接口分配的值。在这种情况下,来自较高级别 VLAN 的流量将始终能够进入较低级别的 VLAN。如果您需要流量在 2 个同级别的 VLAN 之间传递,则必须配置相同安全流量许可接口特征。
您可以为每个 VLAN 接口分配 ACL。在这种情况下,ACL 会覆盖安全级别值。在低于以下版本的 Cisco ASA 软件上8.3你还需要注意NAT 控制VLAN 接口之间。
您也可以混合上述两种解决方案。