尽pipeASA 5510上存在安全级别差异,但VLAN之间的stream量仍然被阻塞

我有一个Cisco ASA 5510如此configuration:

interface Ethernet0/0 description ### Trunk for inside, wlan ### speed 1000 no nameif no security-level no ip address interface Ethernet0/0.10 description ### OFFICE ### vlan 10 nameif inside security-level 100 ip address 172.18.0.1 255.255.255.0 interface Ethernet0/0.12 description ### WIRELESS ### vlan 12 nameif wlan security-level 20 ip address 172.18.2.1 255.255.255.128 interface Ethernet0/3 description ### Upstream ### nameif outside security-level 0 ip address XXXX 255.255.255.252 access-group WLAN in interface wlan global (outside) 10 interface nat (wlan) 0 access-list NONATWIRELESS nat (wlan) 10 172.18.2.0 255.255.255.128 nat (inside) 0 access-list NONATINSIDE nat (inside) 10 172.18.0.0 255.255.255.0 dhcprelay server ZZZ inside dhcprelay enable wlan access-list WLAN extended permit object-group DNS object-group WLAN host nic access-list WLAN extended permit object-group DNS object-group WLAN host idns access-list NONATWIRELESS extended permit ip any 172.18.0.0 255.255.255.0 access-list NONATWIRELESS extended permit ip any 172.18.3.0 255.255.255.0 access-list NONATINSIDE extended permit ip any 172.18.2.0 255.255.255.0 access-list NONATINSIDE extended permit ip any 172.18.3.0 255.255.255.0 no nat-control 

没有静态路由。

在这个configuration上,vlan 10上的主机被允许访问外部世界,但vlan 12上的主机却没有。 他们招来像日志条目:

 Jan 13 14:35:02 172.18.0.1 %ASA-4-106023: Deny tcp src wlan:172.18.2.125/48593 dst outside:YYYY/80 by access-group "WLAN" [0x0, 0x0] 

怎么来的?

编辑:我想这是因为在wlan上有一个访问列表,但不是在里面,但这似乎是愚蠢的? 如果访问列表中没有匹配的条目,那么安全级别仍应该被评估?

嗯,可能是因为你已经将访问组WLAN应用于来自WLAN接口的stream量,并且该访问组不允许访问Web服务器。

错误信息非常清楚,问题在于接入组WLAN,并且访问列表非常严格。

编辑回应你的评论:不是我所知道的,因为在PIXOS中的所有访问列表是dispositive(即所有在最后都有一个隐式deny any any ) – 所以没有这样的事情,比赛。