我有一个访问规则和一个 NAT 规则,它们在安全设备软件版本 8.0 上运行良好
规则如下:
但是,我无法在运行安全设备软件版本 8.4 的 ASA 上执行相同的规则。
我知道配置已经改变,我想我应该创建一个网络对象ath-security并同时定义我的访问和 NAT 规则,但我多年来没有在 ASA 上配置任何东西,有点超出我的理解范围。
我的设置如下:
我在这里做错了什么?
和应该是不同的;这是两个不同的 ASA。CORP-OUTSIDE是每个设备的外部 IP 地址的网络对象。是在装有 8.0 软件的 ASA 上,是在装有 8.4 软件的 ASA 上NM-OUTSIDEXXXX-OUTSIDECORP-OUTSIDENM-OUTSIDE
在装有 8.0 软件的 ASA 上,show running-config 返回以下内容:
静态(内部,外部)tcp 接口 www LVMSecurity www 网络掩码 255.255.255.255
show running-config 在装有 8.3 软件的 ASA 上返回以下内容:
对象网络 AthertonSecurity-2.123 nat(内部,外部)静态接口服务 tcp www www
使用 ASDM 数据包跟踪工具,我在 8.3 ASA 上收到以下错误:
信息:(sp-security-failed)Slowpath 安全检查失败
答案1
弄清楚了这一点,发布了我认为的答案:
问题出在访问规则设置中的 ACL。看来在 8.3 软件中,目标条件、目标:不再是“外部接口”,而是网络对象目标本身。
看起来思科已经将配置从看似倒退的方式转变为正确的方式了?