ASA不同level接口的访问

不同Level接口的NAT访问

Problem Description

You config policy nat in ASA but failed.

your config:

nat (vpnnetwork) 3 access-list CenteneWeb-acl

global (inside) 3 172.21.106.21

interface vpnnetwork security level:60

interface inside security level:100

Troubleshooting Performed

After Cisco lab test, recreating your issue and finding the root cause.

Resolution Summary

when you config “nat (high security level interface), global (low security level interface)”, the traffic can be translated.

But when you config “nat (low security level interface), global (high security level interface)”, the traffice cannot be translated

---------------------------------------------------------------------------------------------------------

asa(config)# same-security-traffic permit inter-interface

PIX(config)# nat-control      <===使用此命令后,高安全级别要"telnet"到低安全级别,必须要有转换项.

"nat-control"命令不对相同安全级别的接口互访起作用.

在允许相同级别相互时,默认不允许访问别的安全级别(不论高低):

PIX(config)# same-security-traffic permit inter-interface    <====不同接口,相同安全级别的设备通信

PIX(config)# same-security-traffic permit intra-interface      <====相同接口,不同的设备之间通信

使用以下命令,允许在访问相同级别的同时,又允许访问安全级别低的接口:

PIX(config)# static (inside,outside) 202.100.1.100 10.1.1.1

使用访问列表,允许低安全级别访问高安全级别,必需要有转换项:

PIX(config)# no nat-control

PIX(config)# access-list OU permit ip any any

PIX(config)# access-group OU in interface outside      OU 为关键字

使用NAT命令,允许低安全级别访问高安全级别,必需要有访问列表:

PIX(config)# nat (outside) 1 202.100.1.0 255.255.255.0 outside

PIX(config)# global (inside) 1 interface

放行PING流量:

第1种:  写访问列表

第2种:  pixfirewall(config-if)# policy-map global_policy

pixfirewall(config-pmap)# class inspection_default

pixfirewall(config-pmap-c)#inspect icmp

global (outside) 1 interface

nat (inside1) 1 0.0.0.0 0.0.0.0

这样就是使用PAT功能了

针对asa和pix的7.x

透明模式只支持两个接口,透明模式也可以用multi-context

注意透明模式没有nat,没有路由

1. 3层流量要明确放行(ospf,eigrp),要想跨防火墙建邻居,两边都要permit

2. 直连的outside和inside网络必须属于相同子网

3. 必须要配置一个网管ip地址,必须~~~

4  网管ip和内外网ip在同一段.

5. 管理ip不能做内网网关

6. 可以配置网关,但是只做网管用,远程访问防火墙用

7. 每个接口必须在不同vlan,(这个是看的资料上写的,暂时不是很理解)

8. 所有流量都可由ip acl和ethernet acl控制是否放行,eth acl只能管二层流量,但是如果deny any了,则 2,3层都不过

9. arp不需要放行就可以过去,除arp外,所有二层流量默认都不通

10. 透明模式不支持,nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpn

时间: 2024-09-30 09:54:08

ASA不同level接口的访问的相关文章

ASA的twice-nat将互联网访问的源地址转换为内网接口地址测试

一.测试拓扑 二.测试思路 不考虑网络拓扑的合理性,只是考虑网络是否可通 外网访问内部服务器在防火墙上映射的公网地址不通是因为R1的默认路由指向的不是防火墙,出现了非对称路由问题,导致TCP连接来回路径不一致而会话失败 如果把外网访问内部服务器的源地址转换为防火墙内网接口地址,则不会出现非对称路由问题 三.基本配置 路由器Server: interface FastEthernet0/0     ip address 192.168.1.8 255.255.255.0     no shutip

实现xxxAware接口直接访问Servlet API

虽然Struts2提供了ActionContex类来访问Servlet API,但是这样毕竟不能直接获得Servlet API实例,为了使 Struts2能够直接访问到Servlet API的实例,Struts2还提供了接口: ServletContextAware   实现该接口的Action,可以直接访问Web应用中的ServletContext ServletRequestAware   实现该接口的Action,可以直接访问用户请求的HttpServletRequest ServletR

通过HttpWebRequest请求与HttpWebResponse响应方式发布接口与访问接口

一.API接口的编码 1.首页的页面代码: protected void Page_Load(object sender, EventArgs e) { /* * 请求路径:http://xxxx/index.aspx?appkey=&security=&t=&method=&... * appkey是调用者身份码(系统分配) * security是当前请求安全码(安全码=MD5(Key + Method),key为系统分配或调用者自行设定) * t是请求模块(Member

HttpHandler和ashx要实现IRequiresSessionState接口才能访问Session信息(转载)

通常我们经常,通过session判定用户是否登录.还有一些临时的.重要的数据也尝尝存放在Session中. 在页面我们很容易的得到Session的值,但在类中就会遇到一些问题.也知道通过下面的方法得到. System.Web.HttpContext.Current.Session["userinfo"]; 但是今天此种方法也失灵了.在做一个小应用时,需要实现IHttpHandler,同时也需要用到用户的标识.但是在这个类中怎么也不能找到Session的值,曝出 System.Web.H

MyBatis 入门(二)--用接口方式访问数据库

一.建立接口 UserMapper.java public interface UserMapper { public List<User> getAllUser(); public User getUserById(String userId); public int insert(User user); public int update(User user); public int delete(User user); } 二 修改 UserMapper.xml <?xml ver

CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT. 好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口. 做了目的NAT转换 static NAT session存在 知道这个功能后,我们再来看下如下两个CASE CISCO ASA虽然没有PBR功能,但是依然能做到双线分流 ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管

(6)s3c2440用I2C接口访问EEPROM

在前面阅读理解了I2C的官方协议文档后,就拿s3c2440和EEPROM来验证一下. 本来是想用s3c2440的SDA和SCL管脚复用为GPIO来模拟的,但在没有示波器的情况下搞了一周,怎么都出不来,最后还是放弃了.甚至参考了linux下i2c-algo-bit.c和i2c-gpio.c,依然没调出来.如果有示波器,可能很快就能找到原因,现在完全不知道问题出在哪里.其实想用GPIO模拟I2C的目的很简单,以一种简单而又深刻的方式来理解I2C. 既然这条路暂时没法走,退而求其次,用s3c2440的

如何让你的 Asp.Net Web Api 接口,拥抱支持跨域访问。

由于 web api 项目通常是被做成了一个独立站点,来提供数据,在做web api 项目的时候,不免前端会遇到跨域访问接口的问题. 刚开始没做任何处理,用jsonp的方式调用 web api 接口,总是报一个错误,如下: 如果你想用JSONP来获得跨域的数据,WebAPI本身是不支持javascript的callback的,它返回的JSON是这样的: {"YourSignature":"嫁人要嫁程序员,钱多话少死得早"} 然而,JSONP请求期望得到这样的JSON

通过拦截器Interceptor实现Spring MVC中Controller接口访问信息的记录

java web工程项目使用了Spring+Spring MVC+Hibernate的结构,在Controller中的方法都是用于处理前端的访问信息,Controller通过调用Service进行业务处理后给前端返回ModelAndView对象或者只返回Json格式数据.如果能够获得Http请求在后端程序中处理的相关信息,对于开发和调试时十分方便的.工程中使用了Spring MVC的Interceptor对所有Http请求及其响应进行拦截,从而获取到本次访问接口信息以及程序处理时长等信息,特意在