Tráfego bloqueado entre VLANs apesar da diferença de nível de segurança no ASA 5510

Question

Tráfego bloqueado entre VLANs apesar da diferença de nível de segurança no ASA 5510

#1 resposta do (3 votos)

3

Eu tenho um Cisco ASA 5510 configurado assim:

interface Ethernet0/0
 description ### Trunk for inside, wlan ###
 speed 1000
 no nameif
 no security-level
 no ip address

interface Ethernet0/0.10
 description ### OFFICE ###
 vlan 10
 nameif inside
 security-level 100
 ip address 172.18.0.1 255.255.255.0 

interface Ethernet0/0.12
 description ### WIRELESS ###
 vlan 12      
 nameif wlan  
 security-level 20
 ip address 172.18.2.1 255.255.255.128 

interface Ethernet0/3
 description ### Upstream ###
 nameif outside
 security-level 0
 ip address X.X.X.X 255.255.255.252 

access-group WLAN in interface wlan

global (outside) 10 interface

nat (wlan) 0 access-list NONATWIRELESS
nat (wlan) 10 172.18.2.0 255.255.255.128
nat (inside) 0 access-list NONATINSIDE
nat (inside) 10 172.18.0.0 255.255.255.0

dhcprelay server ZZZ inside
dhcprelay enable wlan

access-list WLAN extended permit object-group DNS object-group WLAN host nic 
access-list WLAN extended permit object-group DNS object-group WLAN host idns 
access-list NONATWIRELESS extended permit ip any 172.18.0.0 255.255.255.0 
access-list NONATWIRELESS extended permit ip any 172.18.3.0 255.255.255.0 
access-list NONATINSIDE extended permit ip any 172.18.2.0 255.255.255.0 
access-list NONATINSIDE extended permit ip any 172.18.3.0 255.255.255.0 

no nat-control

Não há rotas estáticas.

Nesta configuração, os hosts na vlan 10 têm permissão para acessar o mundo externo, mas os hosts na vlan 12 não são. Eles provocam entradas de log:

Jan 13 14:35:02 172.18.0.1 %ASA-4-106023: Deny tcp src wlan:172.18.2.125/48593 dst outside:Y.Y.Y.Y/80 by access-group "WLAN" [0x0, 0x0]

Como assim?

EDIT: Eu suponho que isso é porque há uma lista de acesso na wlan, mas não no interior, mas isso parece estúpido? o nível de segurança ainda deve ser avaliado se não houver entradas correspondentes na lista de acesso?

networking nat vlan cisco-asa

por Bittrance 13.01.2012 / 14:40

1 resposta

Tags networking nat vlan cisco-asa

Posso restringir quantas CPUs o SQL Server 2005 usa? Qual é a maneira de atualizar / lib / modules após copiar o disco para um sistema diferente?

score 3 · Accepted Answer

Umm, possivelmente porque você tem a WLAN do grupo de acesso aplicada ao tráfego vindo na interface wlan, e esse grupo de acesso não permite o tráfego para servidores web.

A mensagem de erro é bastante clara de que o problema está na WLAN do grupo de acesso, e essa lista de acesso é bastante restritiva.

Editar em resposta ao seu comentário: não que eu saiba, porque todas as listas de acesso no PIXOS são dispositivas (ou seja, todas têm um deny any any implícito no final) - então há não existe uma lista de acesso que não corresponda.