服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Cisco ASA 5505 VLAN之间的通信
Intereting Posts
MySQL性能调优 sar命令在Linux中仅生成CPU利用率和networking统计信息 在MySQL转储中口音不正确 设置一个传真服务器来过滤垃圾邮件 Postfix邮件队列是空的,但电子邮件不断来? 正确的方法来在CentOS / RHEL上重写Mysql my.cnf? 穆宁应该坐在/ var / www / munin还是/ var / cache / munin / www? MariaDB 10.0 / Docker / Vagrant – subprocess/ usr / bin / dpkg返回一个错误代码 safesquid外部parsing器 如何获得supervisord使用用户的rbenv环境? 运行Jenkins CI的Windows Server 2008 R2的EMC Avamar 7.1文件级备份崩溃 通过指定要使用的PXE服务器来testing从PXE服务器启动(不带DHCP)吗? zfs从设备中删除设备 旋转nohup出文件(nohup.log) 如何告诉rsync不检查权限

Cisco ASA 5505 VLAN之间的通信

我有一个运行8.4多个内部networking的ASA 5505:

  • 里面:10.1.0.0/16
  • 制造商:10.2.0.0/16
  • 运算符:10.6.0.0/24

我希望内部和制作networking能够完全访问彼此,并且内部networking应该可以完全访问外部。 我希望内部和制造商networking能够完全访问运营商networking,但我只希望运营商networking能够通过指定的端口访问指定的mfg主机,而不需要外部访问。 随着我在内部和制造networking之间以及内部和外部之间的configurationstream量stream动,不能让受限制的运营商到制造networking工作。

我尝试向制造商networking添加一个“in”访问列表,以允许来自运营商networking(接口mfg中的access-group acl_mfg_in)的端口访问,但似乎并不正确。 它看起来像是将ACL应用到物理接口而不是mfg vlan接口,是正确的吗? 我怎样才能完成我想要的?

哦,我有一个安全加许可证。 

: Saved : Written by enable_15 at 12:15:13.442 PDT Tue Mar 19 2013 ! ASA Version 8.4(4)1 ! ! interface Ethernet0/0 switchport access vlan 201 ! interface Ethernet0/1 switchport trunk allowed vlan 1,20,60,70,201 switchport trunk native vlan 1 switchport mode trunk ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 10.1.1.1 255.255.0.0 ! interface Vlan20 nameif mfg security-level 100 ip address 10.2.0.1 255.255.0.0 ! interface Vlan60 nameif operator security-level 20 ip address 10.6.0.1 255.255.255.0 ! interface Vlan201 nameif outside security-level 0 ip address ABCD ! boot system disk0:/asa844-1-k8.bin ftp mode passive clock timezone PDT -7 dns server-group DefaultDNS domain-name example.com same-security-traffic permit inter-interface object network obj_any subnet 0.0.0.0 0.0.0.0 object network subnet_inside subnet 10.1.0.0 255.255.0.0 object network subnet_mfg subnet 10.2.0.0 255.255.0.0 object network subnet_operator subnet 10.6.0.0 255.255.255.0 object network host_mfg_cdc1 host 10.2.0.12 object-group service ports_active_directory service-object icmp echo service-object icmp echo-reply service-object tcp destination eq 135 service-object tcp destination range 1025 1026 service-object tcp destination eq ldap service-object tcp-udp destination eq domain service-object tcp destination eq 445 service-object tcp destination eq netbios-ssn service-object udp destination range netbios-ns netbios-dgm service-object udp destination eq 389 service-object tcp-udp destination eq 88 service-object udp destination eq ntp object-group service ports_dns service-object tcp-udp destination eq domain access-list acl_mfg_in extended permit object-group ports_active_directory object subnet_operator object host_mfg_cdc1 log nat (inside,outside) source dynamic any interface ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp ! service-policy global_policy global prompt hostname context no call-home reporting anonymous

一般来说有两种不同的方法:

  • 您可以依赖每个VLAN接口分配的Cisco ASA 安全级别值。 在这种情况下,来自高层VLAN的stream量将始终能够进入低层VLAN。 如果您需要在两个相同级别的VLAN之间通过stream量,则必须configuration相同的安全stream量允许接口间function。

  • 您可以为每个VLAN接口分配ACL。 在这种情况下,ACL会覆盖安全级别的值。 在低于8.3的 Cisco ASA软件版本中,您还需要注意VLAN接口之间的NAT控制 。

你也可以混合2个以上的解决scheme。