ASA 5520 内网互访实验
ASA 5520内网端口互访实验
测试如何实现ASA5520不同内网端口同时安全级别不一样额内网端口间的
互访配置。
测试如何实现ASA5520不同内网端口但是相同安全级别间的端口的互访。
实验环境:基于GNS3的虚拟环境,ASA版本为8.4(2)
试验拓扑:
Router1 基本配置:
ip domain name test.com
username root secret 5 $1$/3e0$pTshnFze2RSAvILS1t6Ak/
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
duplex half
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Router2基本配置
ip domain name test.com
username root password 0 root
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.0
duplex half
ip route 0.0.0.0 0.0.0.0 192.168.2.1
line vty 0 4
login local
transport input telnet ssh
Router3基本配置:
interface FastEthernet0/0
ip address 192.168.13.3 255.255.255.0
duplex half
ip route 0.0.0.0 0.0.0.0 192.168.13.1
ASA5520基本配置:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside1
security-level 90
ip address 192.168.2.1 255.255.255.0
!
interface GigabitEthernet2
nameif outside
security-level 0
ip address 192.168.13.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.13.3 1
route inside 1.1.1.0 255.255.255.0 192.168.1.2 1
route inside1 2.2.2.0 255.255.255.0 192.168.2.2 1
测试<一>:
1 分别从router1和router2 PING Router3的地址:
R1#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
.....Success rate is 0 percent (0/5)
R2#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
.....Success rate is 0 percent (0/5)
2 分别从router1和router2 telnet Router3的地址:
R1#192.168.13.3
Trying 192.168.13.3 ... Open
User Access Verification
Username: root
Password:
R3>
R2#192.168.13.3
Trying 192.168.13.3 ... Open
User Access Verification
Username: root
Password:
R3>
结论:默认情况下,从高安全级别端口的网络可以访问低安全级别的网络,但是PING协议默认禁止,需要另外打开,打开命令如下:
access-list outside permit icmp any any
access-group outside in interface outside
此时从 inside和inside1端口都可以PING通Router3的端口地址:
R1#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 32/70/144 ms
R2#ping 192.168.13.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.3, timeout is 2 seconds:
!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/50/132 ms
测试<二>:
1 从Router1 ping和telnet到Router2端口的地址:
R1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
.....Success rate is 0 percent (0/5)
R1#192.168.2.2
Trying 192.168.2.2 ... Open
User Access Verification
Username: root
Password:
R2>
Ping不通,但是telnet可以访问,这是因为inside端口的网络安全级别高于inside1的网络安全级别,因此虽然ping默认不通,但是telnet就没有问题,符合测试一的结论。
我们添加命令让PING可以通过:
access-list inside1 permit icmp any any
access-group inside1 in interface inside1
R1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 32/65/136 ms
为了能让低级别的inside1访问高级别的inside,我们需要添加如下命令:
access-list inside1 extended permit tcp host 192.168.2.2 host 192.168.1.2 eq telnet log
access-list inside1 extended permit tcp host 192.168.2.2 host 192.168.1.2 eq ssh log
access-group inside1 in interface inside1
此时再测试:
R2#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: root
Password:
R1>exit
[Connection to 192.168.1.2 closed by foreign host]
R2#ssh -l root 192.168.1.2
Password:
R1>
发现从低级别的inside1已经可以访问高级别的inside。
结论:在内网安全级别不同的端口间访问时,从高级别安全端口访问低级别安全端口除了PING默认禁止,其余服务都可以访问,从低级别端口访问到高级别端口时,需要启用访问列表并应用在低级别端口的IN方向上。
测试<三>:不同内网端口但是相同安全级别间的端口的互访
删除前面配置的访问列表,把inside和inside1配置成相同的安全级别100:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside1
security-level 100
ip address 192.168.2.1 255.255.255.0
此时在R1上测试:
R1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
.....Success rate is 0 percent (0/5)
R1# 192.168.2.2
Trying 192.168.2.2 ...% Connection timed out; remote host not responding
都是不通的,在R2上测试也是一样的,不通。
加上命令:same-security-traffic permit inter-interface,继续在R1上测试:
R1#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/95/240 ms
R1# 192.168.2.2
Trying 192.168.2.2 ... Open
User Access Verification
Username: root
Password:
R2>
可以看到访问完全没有任何问题:
结论:在相同安全级别间的访问,只需要使用命令就能实现。
转载于:https://blog.51cto.com/goldream/2346764
ASA 5520 内网互访实验相关推荐
- 域名解析和内网穿透实验
MQTT相关实验 第一节:Mosquitto 相关实验 第二节:域名解析和内网穿透实验 第三节:OneNET 相关实验 Gitee仓库地址: https://gitee.com/zhj0125/MQT ...
- open***实现两地内网互访(二) 两地内网互访
现在配置广州服务器 1.安装软件..和主服务器一样 第1,2 步 2.开启路由并做SNAT转换 #vim /etc/sysctl.conf net.ipv4.ip_forward = 1 # sys ...
- 4G模块 | 基于4G Cat.1的内网穿透实践
1024G 嵌入式资源大放送!包括但不限于C/C++.单片机.Linux等.关注微信公众号[嵌入式大杂烩],回复1024,即可免费获取! 上一篇分享了:<小熊派4G开发板初体验>,对小熊派 ...
- 【原创】IP摄像头技术纵览(七)---P2P技术—UDP打洞实现内网NAT穿透
[原创]IP摄像头技术纵览(七)-P2P技术-UDP打洞实现内网NAT穿透 本文属于<IP摄像头技术纵览>系列文章之一: Author: chad Mail: linczone@163.c ...
- 怎么让内网显示云服务器ip,腾讯云内网IP怎么用
内网服务即局域网(LAN)服务,云服务之间经由内部链路互相访问.腾讯云上的云产品可以经由 Internet 访问,也可经由腾讯云内网互相访问.腾讯云机房均由底层万兆/千兆互联,提供带宽高.时延低的内网 ...
- 隧道技术 Frp 多层内网穿透
文章目录 Frp穿透 Frp多层内网实战 实验环境 操作 第一层隧道 第二层隧道 Frp穿透 项目地址:https://github.com/fatedier/frp 中文文档:https://gof ...
- 华为AR路由器双内网三线上网和策略路由设定
测试环境为AR1220E-S: G0口为LAN1: 192.168.1.1/24 G1口为LAN2:192.168.2.1/24 G7口为ADSL1拨号上网 G8口为ADSL2拨号上网 G9口为固定i ...
- WatchAD内网安全态势感知系统搭建
WatchAD内网安全态势感知系统是一个很厉害的网络安全开源项目,花了差不多一个晚上的时间,基于本地的windows server 2008 AD服务器,和Centos 7 搭建了一下360 Watc ...
- 思科nat配置实例_Cisco ASA 5520(8.2.4)配置企业内网案例
思科防火墙ASA5520 外观 网络拓扑图如下 内网 网段 192.168.2.0/24 公网IP地址 118.25.235.100 公网IP地址网关:118.25.235.1.1 防火墙内网IP:1 ...
最新文章
- sql 2005 try catch
- php json传输被过滤,php-the_content过滤器,用于将自定义字段添加到JSON响应
- 安装Ubuntu时的硬盘分区方案
- C语言课后习题(12)
- 一次问题处理后的处理流程总结
- 【博客项目】—用户新增功能(九)
- 【常用快捷键大总结】教你背通所有键盘操作
- STM32F103C8T6详细引脚表
- Macbook做Wifi热点,用蓝牙分享
- ECharts数据可视化项目
- 【解决方案】STM32L152单片机驱动段码LCD屏,执行HAL_LCD_Init函数失败返回HAL_TIMEOUT,长时间卡在LCD_FLAG_RDY的while循环里面的解决办法
- java后台跳转页面实现方式
- nisp和cisp证书有什么区别
- C++中BitBlt的使用方法详解
- CPI成折叠式OLED面板保护层关键材料
- 动作手游实时PVP帧同步方案(客户端)
- Java之List系列--去重的方法
- Druid报错c.a.druid.pool.DruidAbstractDataSource : discard long time none received connection.
- 【Proteus仿真】51单片机汇编实现DS18B20+LCD1602显示
- 基于5G用户卡的5G接入认证分析及试验