ASA单臂路由,同安全等级子接口跨VLAN互通

最新推荐文章于 2022-09-19 16:53:05 发布
最新推荐文章于 2022-09-19 16:53:05 发布
阅读量2.9k 收藏 3
点赞数
分类专栏: 网络管理 文章标签: asa 单臂路由 vlan 子接口 相同安全等级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26140297/article/details/80960015
版权

这里写图片描述

需求

  • 交换机划分为包含R2的ins-vlan2和包含R3的dmz-vlan3
  • 交换机只连一根线到asa的端口。
  • 启用asa端口的两个子接口作为不同的vlan,并使其具有相同的安全等级,可以互相访问,即R2能和R3互通。

配置命令

交换机

此交换机为GNS3 VM IOU服务器的i86bi-linux-l2-adventerprisek9-15.1a.bin镜像,具体搭建方法请见
[GNS3 1.3疑难杂症]搭建交换机

config t
vlan 2 
    ex
vlan 3
    ex
#asa端的TRUNK
int e0/0
    #此句设置封装类型为dot1q必须加,给数据帧打上VLAN标签,GNS3交换机默认不是dot1q
    switchport trunk encapsulation dot1q 
    #若不加上句,则可能提示“Auto”,不能设置端口模式trunk
    switchport mode trunk
    ex
#路由器R2
int e0/1
    switchport access vlan 2
    exit
#路由器R3
int e0/2
    switchport access vlan 3
    exit
exit
show vlan

ASA 8.4

ena

config t
int g2
    nameif inside-dmz
    no security-level
    no ip address
    no shut
    exit
int g2.2
    vlan 2
    nameif ins
    no shut
    security-level 100
    ip address 10.25.25.5 255.255.255.0
    exit
int g2.3
    vlan 3
    nameif dmz
    no shut
    security-level 100
    ip address 10.35.35.5 255.255.255.0
    exit
#设置访问列表,允许全通过,为了测试方便
access-list acl_Test1 extended permit ip any any     
access-list acl_Test2 extended permit ip any any 
#对进入接口的流量应用规则
access-group acl_Test1 in interface ins   
access-group acl_Test2 in interface dmz
#去环回地址的静态路由 格式:从端口side 要去A/mask 得过对端B
route ins 10.2.2.0 255.255.255.0 10.25.25.2 
route dmz 10.3.3.0 255.255.255.0 10.35.35.3 
#同安全级别的子接口互相访问
same-security-traffic permit inter-interface
ex
show route

这里写图片描述

Vlan2-R2

config t
int lo 0
    ip add 10.2.2.2 255.255.255.0
    no shut
    exit
int f0/0
    ip add 10.25.25.2 255.255.255.0
    no shut
    exit
ip route 10.3.3.0 255.255.255.0 10.25.25.5
ip route 10.35.35.0 255.255.255.0 10.25.25.5
do show ip route

这里写图片描述

Vlan3-R3

config t
int lo 0
    ip add 10.3.3.3 255.255.255.0
    no shut
    exit
int f0/0
    ip add 10.35.35.3 255.255.255.0
    no shut
    exit
ip route 10.2.2.0 255.255.255.0 10.35.35.5
ip route 10.25.25.0 255.255.255.0 10.35.35.5
do show ip route

这里写图片描述

测试结果

R2能ping通R3,即vlan2与vlan3能互相访问
这里写图片描述

IKHIN
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全ASA基础配置(安全萌新,旨在记录和分享,如有错误欢迎指教)
always_test的博客
10-12 1293
进行练习记录完成ASA基础配置(模拟工具GNS3)准备开始(进行扑朔图的搭建)基础配置1、配置主机名和密码:2、配置接口3、配置路由4、为出站流量配置网络地址转换:5.配置ACL: 完成ASA基础配置(模拟工具GNS3) 注意:主机和服务器均可以使用路由器来代替。 1.配置主机名和密码: ASA的名字为:ASA802 特权密码为:CISCO 远程登录密码为:CISCO 2.配置接口: 按图例配置接口名称和IP地址和接口安全级别(分别为:0 /50 /100) 3.配置路由: 在ASA写入默认路由,指向
CISCOASA防火墙vlan接口互相通讯配置实例
12-11
ciscoASA防火墙vlan接口互相通讯配置实例 包括ASA防火墙vlan间互相通讯配置示例等。
Cisco 配置单臂路由器实验
m0_55355026的博客
11-07 1871
实验目的: 通过配置单臂路由器和二层交换机实现不同vlan互联,使PC在不同网段间也能相互访问。 实验步骤: 步骤一:搭建网络拓扑图 步骤二:配置交换机 修改交换机名字 Switch(config)#hostname S1 创建虚拟局域网Vlan S1(config)#vlan 10 S1(config-vlan)#vlan 20 S1(config-vlan)#exit 将PC1和PC2分配到Vlan10,PC3和PC4分配到Vlan20 配置access(访问)...
cisco 同安全级别端口互相访问
weixin_34384557的博客
01-25 395
需要开启same-security-traffic permit inter-interface该功能 interface Ethernet0/0 nameif inside security-level 100 ip address 12.0.0.1 255.0.0.0 ! interface Ethernet0/1 nameif inside-1 ...
same-security-traffic
weixin_30719711的博客
03-24 152
关于Inter-interface和intra-interface: 要允许具有相同安全级别的接口之间的通信,或允许流量进入和退出同一接口,请在全局配置模式下使用same-security-traffic命令。 要禁用相同安全流量,请使用此命令的no形式。 same-security-traffic permit {inter-interface | intra-interface}no s...
ASA的一些问题
weixin_34357267的博客
07-25 113
最近在配置NAT的时候碰到了一些问题,先做一些总结。 1,在配置overload NAT的时候不需要定义地址池,只要NATT的全局地址和接口地址在同一网段机可以。如果有多个网段的公网地址则需要定义 POOL。 2,配置static NAT asa(config)#static (inside, outs...
ASA防火墙中端口的互访规则
weixin_33814685的博客
08-26 1255
ASA防火墙中,基于安全的原因对不同的端口的安全定义也是不一样的。默认规则如下: 1、安全级别低的端口,不能访问安全级别高的端口。如outside接口安全级别为0,不能访问安全级别为100的inside接口。 2、安全级别高的端口,可以访问安全级别低的端口。如inside接口可以访问outside接口。 3、相同安全级别的都够,不可以互访。如定义两个安全级...
ASA防火墙vlan接口互相通讯配置实例.doc
04-07
ASA防火墙vlan接口互相通讯配置实例.doc
ASA防火墙单臂路由配置实例.pdf
11-04
ASA防火墙单臂路由配置实例.pdf
ASA动态路由协议
04-12
GNS3模拟器中ASA防火墙的动态路由配置步骤,有拓扑图及详细的命令配置、解释。
ASA安全 docx.zip
03-22
ASA安全
【配置实验】ASA 冗余接口配置实验
XMWS-IT
09-19 1152
欢迎关注微信公众号【厦门微思网络】。http://www.xmws.cn专业IT认证培训19周年。主要课程:思科、华为、红帽、ORACLE、VMware、CISP、PMP等认证培训及考证。把接口F0/14,F0/15 分配到VLAN2。创建和命名vlan2。
网络安全ASA的初始化-03
佐德将军的博客
12-24 2311
目录 一、实验拓扑 二、实验步骤 三、实验过程 四、总结 实验难度 3 实验复杂度 2 一、实验拓扑 二、实验步骤 1.搭建如图所示的网络拓扑; 2. 三、实验过程 1.搭建如图所示的网络拓扑; (1)在GNS 3下,拉出3台路由器设备,然后拖出一朵云设备。 (2)右击这朵云,然后选择更改图标,把这个图标修改为ASA防火墙。同样的修改一下这个设备的名字为ASA。 (3)连接设备。 四、总结 ...
CiscoASA防火墙Trunk透明传输_七夕小_新浪博客
七夕小子的博客
11-13 321
华为防火墙,透明模式部署时,要通过的是多个Vlan,将物理端口设置为Trunk,再配上需要通过的vlan,即可,非常方便。cisco的就弱爆了,如下: 实现目的:Cisco ASA防火墙做透明模式,串在交换机Trunk口之间。 网络拓扑:交换机1的Trunk---防火墙---交换机2的Trunk 防火墙上先建立BVI,BVI的IP地址,网掩码应该包括所有需要通信的各个网 配...
ASA配置命令
热门推荐
chentaocba的专栏
07-04 2万+
要想配置思科的防火墙得先了解这些命令:   常用命令有:nameif、interface、ip address、nat、global、route、static等。   global   指定公网地址范围:定义地址池。   Global命令的配置语法:   global (if_name) nat_id ip_address-ip_address [netmark global_mask]
CiscoASA防火墙Trunk透明传输
七夕小子的博客
11-13 4384
华为防火墙,透明模式部署时,要通过的是多个Vlan,将物理端口设置为Trunk,再配上需要通过的vlan,即可,非常方便。cisco的就弱爆了,如下: 实现目的:Cisco ASA防火墙做透明模式,串在交换机Trunk口之间。 网络拓扑:交换机1的Trunk---防火墙---交换机2的Trunk 防火墙上先建立BVI,BVI的IP地址,网掩码应该包括所有需要通信的...
DHCP:(3)思科防火墙ASA上部署DHCP服务以及DHCP中继
网络之路Blog(其他平台同名)
03-03 2317
Cisco 防火墙 ASADHCP配置 实验目标 1、网络初始化(防火墙IP地址配置,以及接口nameif) 2、外网接口通过DHCP获取地址与DNS信息(由于PT模拟器不支持PPPOE,所以用DHCP模拟) 3、配置DHCP功能以及特性,实现内网能够获取到地址 4、验证 5、DHCP的其他参数 6、接口的形式配置方法 7、ASA上面的DHCP中继配置方法 8、NAT配置,使得内网用户能够访问internet 拓扑介绍 说明: ASA是支持接口形式的(也就是单臂路由的方式),但是模拟器支持的.
防火墙系列---接口下的配置
zhaotiannuo_1998的博客
06-25 5315
2019/6/25 - - - 此文章是关于配置防火墙的接口配置初始化状态的一个实验 实验拓扑 实验环境 此前已有ASA相关配置的文章 —> 《ASA的配置》 关于防火墙初始化的文章—> 《初始化状态配置》 实验配置 因为之前有对此文章的介绍,这里直接上配置,可以修改完部分地址与接口后,直接刷进去。 路由与交换所做的优化配置 enable configure terminal...
ASA-vlan-interface
weixin_34368949的博客
05-14 166
ASA-vlan-interface 我们都应该了解在路由器上的单臂路由来做多vlan间路由,那么在ASA之中又如何做呢,如何在ASA中开启接口等等,带着问题我们来看一个top: 具体需求: 1,ASA只通过一条物理线理去路由两个内网的数据, 2,如何不让e0/1去接受未打标的数据, 3,内部可以与外部通信通过NAT, 4,内网用户不能pi...
ASA同一接口中转同区域流量测试(ASA 8.42)
最新发布
06-02
要在ASA设备上测试同一接口中转同区域流量,您可以按照以下步骤操作: 1. 配置ASA设备的接口IP地址和网掩码。 2. 设置ASA设备的路由表,确保设备可以路由到同一区域内的其他设备。 3. 创建一个网络对象,代表同一区域内的所有设备。 4. 配置ASA设备的NAT规则,将内部IP地址转换为外部IP地址。 5. 创建一个ACL规则,允许同一接口中转同区域流量通过。 6. 启用ASA设备的日志功能,以便查看流量是否被正确地转发。 下面是一个示例配置,供您参考: ``` interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0 access-list same-interface extended permit ip object-group inside-network object-group inside-network nat (inside,inside) source dynamic inside-network interface class-map same-interface match access-list same-interface policy-map same-interface-policy class same-interface set connection decrement-ttl service-policy same-interface-policy interface inside ``` 在上述配置中,内部网络被定义为一个对象组,名为“inside-network”。NAT规则将内部IP地址转换为外部接口的IP地址。ACL规则允许同一接口中转同区域流量通过。最后,启用ASA设备的日志功能,以便查看流量是否被正确地转发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值