Cisco ASA 5505在VLAN间的通信
Cisco ASA 5505在VLAN间的通信
提问于 2013-03-19 19:45:02
我有一个ASA 5505,运行8.4与多个内部网络:
- 内部: 10.1.0.0/16
- mfg: 10.2.0.0/16
- 接线员: 10.6.0.0/24
我希望内部网络和mfg网络能够完全相互访问,内部网络应该能够完全访问外部。我希望内部网络和mfg网络能够完全访问运营商网络,但我只希望运营商网络能够通过指定的端口访问指定的mfg主机,而不希望外部访问。有了我的配置,流量在内部和mfg网络之间,内部和外部之间,无法使受限的运营商mfg网络工作。
我尝试在mfg网络中添加一个" in“访问列表,以允许从运营商网络(接口mfg中的访问组acl_mfg_in )进行端口访问,但这似乎不正确。看起来它将ACL应用于物理接口,而不是mfg接口,对吗?我怎么才能完成我想要的呢?
还有我有安全加执照。
: Saved
: Written by enable_15 at 12:15:13.442 PDT Tue Mar 19 2013
!
ASA Version 8.4(4)1
!
!
interface Ethernet0/0
switchport access vlan 201
!
interface Ethernet0/1
switchport trunk allowed vlan 1,20,60,70,201
switchport trunk native vlan 1
switchport mode trunk
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.0.0
!
interface Vlan20
nameif mfg
security-level 100
ip address 10.2.0.1 255.255.0.0
!
interface Vlan60
nameif operator
security-level 20
ip address 10.6.0.1 255.255.255.0
!
interface Vlan201
nameif outside
security-level 0
ip address A.B.C.D
!
boot system disk0:/asa844-1-k8.bin
ftp mode passive
clock timezone PDT -7
dns server-group DefaultDNS
domain-name example.com
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network subnet_inside
subnet 10.1.0.0 255.255.0.0
object network subnet_mfg
subnet 10.2.0.0 255.255.0.0
object network subnet_operator
subnet 10.6.0.0 255.255.255.0
object network host_mfg_cdc1
host 10.2.0.12
object-group service ports_active_directory
service-object icmp echo
service-object icmp echo-reply
service-object tcp destination eq 135
service-object tcp destination range 1025 1026
service-object tcp destination eq ldap
service-object tcp-udp destination eq domain
service-object tcp destination eq 445
service-object tcp destination eq netbios-ssn
service-object udp destination range netbios-ns netbios-dgm
service-object udp destination eq 389
service-object tcp-udp destination eq 88
service-object udp destination eq ntp
object-group service ports_dns
service-object tcp-udp destination eq domain
access-list acl_mfg_in extended permit object-group ports_active_directory object subnet_operator object host_mfg_cdc1 log
nat (inside,outside) source dynamic any interface
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous回答 1
Server Fault用户
发布于 2013-03-20 08:19:50
一般而言,有两种不同的方法:
- 您可以依赖Cisco为每个VLAN接口分配的安全等级值。在这种情况下,来自较高级别VLAN的通信将始终能够传递到较低级别的VLAN。如果您需要在具有相同级别的两个VLAN之间传递通信量,则必须配置同一-安全-交通许可证-接口特性。
- 您可以为每个VLAN接口分配ACL。在这种情况下,ACL覆盖安全级别的值。在Cisco的软件版本低于8.3时,您还需要注意VLAN接口之间的NAT控制。
您也可以混合以上两种解决方案。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/489379
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号